Innowacje finansowe (FinTech)

W tym roku zespół FinTech wspierał już trzy podmioty, które uzyskały wpis KNF do rejestru jako podmioty prowadzące działalność w ramach limited network.

Z przyjemnością informujemy, że zespół FinTech Kancelarii Traple Konarski Podrecki i Wspólnicy został wyróżniony w prestiżowym rankingu najlepszych kancelarii Chambers and Partners FinTech Legal in Poland 2021 (Band 2).

Ponadto, prof. UEK Jan Byrski, PhD hab. otrzymał indywidualną rekomendację i awans w tej kategorii w stosunku do zeszłego roku z Band 3 do Band 2.

W dniu 7 października 2019 r. Rada Unii Europejskiej przyjęła dyrektywę w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii (dalej: „Dyrektywa”), która stanowi nie tylko punkt zwrotny w kwestii ochrony tzw. sygnalistów (ang. whistleblowers), ale także kolejne źródło obowiązków nałożonych na przedsiębiorców.

Ochrona sygnalistów od lat stanowi przedmiot bardziej lub mniej wzmożonej debaty na temat zakresu i kształtu regulacji prawnej, która ma to zjawisko opisywać. Niezależnie od punktu widzenia wydaje się, że stworzenie przemyślanych ram dla jej funkcjonowania jest wysoce pożądane z perspektywy interesu tak przedsiębiorców, jak i samych osób, którzy zgłaszają naruszenia w dobrej wierze.

Jakie regulacje dotyczące sygnalistów obowiązywały w Polsce dotychczas

Do momentu wejścia w życie ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „uAML”) ochrona sygnalistów nie była przedmiotem właściwie żadnej regulacji w polskim porządku prawnym[1]. Pomijając działania Prezesa UOKiK nakierowane na popularyzację zgłaszania nieprawidłowości, możliwość korzystania z anonimowej infolinii dla sygnalistów zgłaszających naruszenie prawa ochrony konkurencji i konsumentów oraz pojedyncze wystąpienia organów administracyjnych w tym przedmiocie[2], temat sygnalistów nie był szerzej poruszany w działalności administracji publicznej. Dość wskazać, że na gruncie polskiego prawa istniała dotychczas wyłącznie regulacja art. 23 ust. 2 ustawy o Państwowej Inspekcji Pracy, przewidująca możliwość wydania przez kontrolującego inspektora postanowienia o zachowaniu w tajemnicy jakiejkolwiek informacji mogącej identyfikować osobę wyjawiającą mu pewne informacje. Przepis ten nigdy jednak nie został uzupełniony o inne kwestie, na przykład o ochronę przed negatywnymi konsekwencjami zgłoszenia lub odpowiedzialność za dokonanie zgłoszenia w złej wierze.

Wspomniana uAML wprowadziła obowiązek wdrożenia przez instytucje obowiązane procedury anonimowego zgłaszania naruszeń. Zgodnie z art. 53 uAML powinna ona określać następujące elementy:

• osobę odpowiedzialną za odbieranie zgłoszeń;
• sposób odbierania zgłoszeń;
• sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
• sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
• zasady zachowania poufności w przypadku ujawnienia tożsamości sygnalistów lub gdy ich tożsamość jest możliwa do ustalenia;
• rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia;
• termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.

Chcąc wzmocnić wydźwięk tej regulacji, ustawodawca obwarował obowiązek wdrożenia procedury karą administracyjną w wysokości do 5 milionów euro. Niezależnie od powyższego należy uznać, że w świetle postulatu szerokiego uregulowania kwestii ochrony sygnalistów istnienie regulacji skierowanej wyłącznie do podmiotów spełniających definicję instytucji obowiązanych wydaje się niewystarczające.

Jakie obowiązki wobec przedsiębiorców przewiduje Dyrektywa?

Dyrektywa przewiduje zobowiązanie określonych podmiotów do podjęcia wskazanych w niej działań nakierowanych na ochronę sygnalistów. Wśród przedsiębiorców, którzy mają być zobowiązani do wykonywania tych działań, Dyrektywa wymienia podmioty prywatne i publiczne. Przedsiębiorcy, którzy zostaną objęci nowymi regulacjami, to:

• prywatne podmioty prawne zatrudniające co najmniej 50 pracowników;
• prywatne podmioty prawne dowolnej wielkości prowadzące działalność w obszarze usług finansowych lub podmioty narażone na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu, zgodnie z uregulowaniami zawartymi w aktach Unii, o których mowa w załączniku do Dyrektywy.

Powyższe wyliczenie oznacza, że niezależnie od liczby pracowników zatrudnianych przez przedsiębiorcę oraz wysokości osiągniętego przezeń obrotu Dyrektywa będzie miała zastosowanie do tych przedsiębiorców, którzy prowadzą działalność w zakresie szeroko rozumianych usług finansowych[3] lub są narażeni na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu. Z uwagi na sposób sformułowania tego przepisu należy domniemywać, że przedsiębiorcami narażonymi na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu są w rozumieniu prawodawcy unijnego tak zwane instytucje obowiązane, tj. podmioty wymienione w art. 2 ust. 1 uAML.

Spośród obowiązków określonych w Dyrektywie wspomnieć należy przede wszystkim o:

• udostępnieniu pracownikom i kontrahentom jasnych i łatwo dostępnych informacji na temat procedur oraz zewnętrznych możliwości zgłaszania naruszeń;
• stworzeniu w przedsiębiorstwie wewnętrznych, poufnych i bezpiecznych kanałów przyjmowania zgłoszeń od sygnalistów i poinformowanie o nich pracowników oraz partnerów biznesowych;
• wyznaczenie osób odpowiedzialnych za weryfikację zgłaszanych informacji o możliwych naruszeniach;
• podejmowanie działań wyjaśniających z zachowaniem należytej staranności;

• przekazywanie sygnaliście informacji zwrotnych (w ciągu siedmiu dniu o przyjęciu zgłoszenia oraz w ciągu kolejnych trzech miesięcy o podjętych działaniach).

Biorąc pod uwagę taki zakres nowych obowiązków, przedsiębiorcy będą musieli zweryfikować swoje wewnętrzne procedury w zakresie compliance. Szczególnie ci, którzy już teraz posiadają wewnętrzne procedury odnoszące się do zgłaszania naruszeń prawa, powinni przeanalizować, czy zawierają one wszystkie elementy wymagane treścią Dyrektywy, a później implementowanej ustawy. Ci, którzy takich procedur nie posiadają, będą musieli stworzyć kompletną dokumentację uwzględniającą wszystkie elementy narzucone wprowadzanymi przepisami, a następnie odpowiednio wdrożyć zawarte w nich rozwiązania. Konieczne może okazać się także przeprowadzenie odpowiednich szkoleń skierowanych do pracowników w celu poinformowania ich o sposobach oraz dostępnych kanałach zgłaszania nieprawidłowości.

Warto zaznaczyć, że odpowiedzialnością objęte zostaną osoby, które utrudniają lub próbują utrudniać zgłaszanie naruszeń, podejmują działania odwetowe wobec osób zgłaszających, wszczynają uciążliwe postępowania przeciwko osobom zgłaszającym lub dopuszczają się naruszeń obowiązku utrzymania w tajemnicy tożsamości osób zgłaszających. Prawodawca unijny chce w ten sposób wzmocnić bezpieczeństwo sygnalistów, a także stworzyć bezpieczne warunki do zgłaszania naruszeń.

Co istotne, przepisy Dyrektywy uwzględniają także ryzyko dokonywania zgłoszeń w złej wierze. Sytuacja taka mogłaby mieć miejsce, gdyby osoba korzystająca z anonimowości i ochrony przyznanej wewnętrznymi procedurami dokonywała złośliwych, niemających pokrycia w rzeczywistości zgłoszeń w stosunku do innych osób. W świetle Dyrektywy fałszywi sygnaliści muszą się liczyć z ryzykiem poniesienia kar, które jej przepisy określają jako skuteczne, proporcjonalne i odstraszające, z odpowiedzialnością odszkodowawczą włącznie.

Implementacja

Zgodnie z art. 26 ust. 1 Dyrektywy państwa członkowskie mają obowiązek implementacji jej przepisów do krajowych porządków prawnych w ciągu 2 lat od wejścia w życie Dyrektywy, natomiast stosowanie przepisów wobec przedsiębiorstw zatrudniających od 50 do 249 pracowników ma nastąpić w ciągu lat 4. Co istotne, nie jest wykluczone, iż ustawodawca krajowy rozszerzy obowiązki związane z ochroną osób zgłaszających naruszenia. Taką możliwość daje art. 25 Dyrektywy, przesądzający jednocześnie o tym, że jej przepisy określają minimum w zakresie zasad ochrony sygnalistów, które należy wprowadzić do przepisów krajowych (tzw. dyrektywa minimalnej harmonizacji). Z uwagi na przyznanie krajowym ustawodawcom wspomnianej swobody warto śledzić proces uchwalania polskiej ustawy implementującej Dyrektywę, monitorować sposób wdrożenia poszczególnych jej przepisów, a także podejmować wcześniejsze działania nakierowane na przegląd wewnętrznych zasad i dokumentacji oraz na ich dostosowanie do aktualnych wymogów w tym zakresie.

[1] W tym kontekście warto zwrócić uwagę na próbę wprowadzenia instytucji sygnalisty do polskiego porządku prawnego podjętą w ramach projektu ustawy o jawności życia publicznego. Na jego gruncie status sygnalisty miał być przyznawany osobie informującej organy ścigania o poszczególnych, wymienionych enumeratywnie czynach zabronionych. Projektodawca chciał, aby status ten był nadawany przez prokuratora, zaś informacja o jego nadaniu, wraz z personaliami osoby zgłaszającej, miała być udostępniana jej pracodawcy (zleceniodawcy) z zastrzeżeniem rocznego zakazu zwalniania tej osoby oraz stosowania wobec niej innych środków represji. Ostatecznie projektowanych przepisów nie uchwalono.

[2] „Prezes podkreślił, że niezbędne jest zapewnienie ochrony danych osobowych sygnalistów, którą umożliwia stosowanie zarówno przepisów k.p.a., dotyczących procedury rozpatrywania skarg i wniosków, jak również RODO. W ocenie organu dane osobowe osób wnoszących taką skargę (sygnalistów) nie podlegają ujawnieniu w toku ww. postępowania. Co więcej, nie mają żadnego znaczenia dla takiego postępowania, którego celem jest zweryfikowanie i wyeliminowanie sygnalizowanych nieprawidłowości. Nawet jeżeli na skutek tych skarg zostaną wszczęte odrębne postępowania, przewidziane przepisami szczególnymi” (Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za rok 2018).

[3] Zgodnie z załącznikiem do Dyrektywy mowa tu przede wszystkim o usługach w zakresie bankowości, kredytów, ubezpieczeń i reasekuracji, emerytur zakładowych lub indywidualnych, papierów wartościowych, funduszy inwestycyjnych, płatności i doradztwa inwestycyjnego.

Nowy projekt wytycznych Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (European Insurance and Occupational Pensions Authority – EIOPA) dotyczący korzystania przez zakłady ubezpieczeń i zakłady reasekuracji z usług przetwarzania danych w chmurze obliczeniowej znacząco rozszerza wymogi regulacyjne w tym zakresie, zaostrzając je do poziomu zbliżonego do obowiązującego w sektorze bankowym. Wytyczne są obecnie na etapie konsultacji publicznych. Uwagi można zgłaszać do EIOPA do 30 września 2019 r.

Wprowadzenie

W ostatnich latach nastąpił znaczący wzrost popularności usług związanych z przetwarzaniem danych osobowych przy użyciu chmury obliczeniowej. Wykorzystuje się przy tym różne modele świadczenia tego rodzaju usług, w szczególności infrastruktura jako usługa (IaaS, od ang. Infrastructure as a Service), platforma jako usługa (PaaS – Platform as a Service) czy oprogramowanie jako usługa (SaaS – Software as a Service),  jak również różne modele chmury obliczeniowej, a mianowicie:

1. chmurę publiczną (z założenia ogólnodostępną dla różnych użytkowników);
2. chmurę prywatną (dostępną jedynie dla podmiotu, który ją wdrożył wewnętrznie);
3. chmurę hybrydową (łączącą cechy chmury publicznej oraz prywatnej, umożliwiającą m.in. przekazanie tylko wybranych zasobów do chmury publicznej).

Z uwagi na niskie koszty (sprzęt, oprogramowanie i całość usług związanych z chmurą obliczeniową dostarcza z reguły jeden podmiot) największą popularnością cieszą się rozwiązania bazujące na chmurze publicznej. Wiodące podmioty z branży informatycznej obecnie nie tylko widzą duży potencjał w dalszym rozbudowywaniu usług chmurowych, ale już teraz osiągają ogromne przychody dzięki dostarczaniu tego typu usług. Przykładowo Microsoft, podając niedawno wyniki kwartalne, po raz pierwszy wskazał, że usługi świadczone w chmurze obliczeniowej wygenerowały przychód większy niż ten wytworzony przez tradycyjne działy przedsiębiorstwa[1].

Dynamiczny rozwój usług chmurowych niesie ze sobą nowe wyzwania ze względu na konieczność realizacji określonych wymogów prawnych, zwłaszcza w kontekście przetwarzania danych osobowych oraz przetwarzania informacji stanowiących tajemnice prawnie chronione. Wyzwania te są szczególnie widoczne z perspektywy podmiotów prowadzących działalność regulowaną (np. bankową lub ubezpieczeniową), w której zastosowanie mają nader restrykcyjne przepisy dotyczące outsourcingu.

W ostatnim okresie różne organy Unii Europejskiej wydają kolejne dokumenty dotyczące outsourcingu, w tym outsourcingu z wykorzystaniem usług świadczonych w chmurze obliczeniowej. W dniu 25 lutego 2019 r. Europejski Urząd Nadzoru Bankowego (European Banking Authority – EBA) opublikował wytyczne w sprawie outsourcingu (znak: EBA/GL/2019/02, dalej: „Wytyczne EBA”)[2], które wejdą w życie 30 września 2019 r. i zastąpią zarówno wytyczne Komitetu Europejskich Organów Nadzoru Bankowego (CEBS) z dnia 14 grudnia 2006 r. dotyczące zlecania zadań dostawcom usług, jak i zalecenia EBA dotyczące outsourcingu w chmurze. Wytyczne EBA odnoszą się także do outsourcingu w przypadku korzystania z usług chmurowych. W wydanym 16 września 2019 r. stanowisku Urząd Komisji Nadzoru Finansowego (UKNF) przesunął moment rozpoczęcia ich stosowania w Polsce na 30 czerwca 2020 r.[3] Z kolei EIOPA w dniu 1 lipca 2019 r. opublikowała materiał konsultacyjny dotyczący jej własnych wytycznych w zakresie outsourcingu, który ogranicza się wyłącznie do outsourcingu z wykorzystaniem usług chmurowych (dalej: „Projekt (EIOPA)” lub „Wytyczne (EIOPA)”)[4]. Uwagi do tego materiału można zgłaszać do 30 września 2019 r.[5] Wytyczne EIOPA mają być stosowane od 1 lipca 2020 r. do wszystkich umów outsourcingu w chmurze zawartych lub zmienionych od tego dnia, natomiast umowy już obowiązujące powinny zostać odpowiednio zmodyfikowane do 1 lipca 2022 r.

Pewnym zaskoczeniem może być fakt, że – odmiennie niż w przypadku Wytycznych EBA – Wytyczne EIOPA odnoszą się wyłącznie do outsourcingu, który powiązany jest ze świadczeniem usług w chmurze obliczeniowej. Tym samym nie mają one charakteru kompleksowego, co z jednej strony nie wydaje się dobrym rozwiązaniem, gdyż różnice w implementacji w poszczególnych państwach członkowskich przepisów dotyczących outsourcingu z dyrektywy Solvency II[6] są znaczne. Z drugiej strony takie podejście pozwala jednak obniżyć koszty i nakłady, jakie muszą ponieść zakłady ubezpieczeń i zakłady reasekuracji w celu dostosowania się do nowych wymogów i z tego powodu może być postrzegane pozytywnie. Wydaje się jednak, że ze względu na długi okres na dostosowanie się przez zakłady ubezpieczeń i zakłady reasekuracji do Wytycznych EIOPA (a postuluje się jego dalsze wydłużenie) powinny one objąć swoim zakresem całość zagadnień dotyczących outsourcingu w działalności ubezpieczeniowej.

Bezpośrednimi adresatami Wytycznych są zakłady ubezpieczeń oraz zakłady reasekuracji. Pośrednicy ubezpieczeniowi (agenci, brokerzy ubezpieczeniowi) wprawdzie do tego kręgu nie należą[7], lecz można się spodziewać, że zakłady ubezpieczeń oraz zakłady reasekuracji mogą kontraktowo zobowiązywać pośredników do odpowiedniego stosowania Wytycznych w takim zakresie, w jakim ci ostatni, wykonując czynności na rzecz zakładu ubezpieczeń lub reasekuracji, korzystają z rozwiązań chmurowych.

Poniżej skrótowo omówione zostaną wybrane zagadnienia zaprezentowane w opublikowanym przez EIOPA Projekcie, które powinny – zdaniem autorów – budzić szczególne zainteresowanie rynku i być przedmiotem dalszego namysłu unijnego urzędu.

Outsourcing oraz outsourcing istotny w Projekcie EIOPA

Opracowując Projekt, EIOPA przyjęła założenie, że Wytyczne będą miały zastosowanie do korzystania przez zakład ubezpieczeń lub zakład reasekuracji z usług przetwarzania danych w chmurze obliczeniowej tylko wtedy, gdy w ramach tych usług dochodzi jednocześnie do outsourcingu w rozumieniu art. 13 pkt 28 dyrektywy Solvency II (implementowanego w art. 3 ust. 1 pkt 27 u.d.u.r.[8]). W przepisie tym zdefiniowano outsourcing jako dowolnego rodzaju umowę zawartą pomiędzy zakładem ubezpieczeń lub zakładem reasekuracji a dostawcą usługi, na podstawie której dostawca –bezpośrednio lub w drodze suboutsourcingu – wykonuje proces, usługę lub działanie, które w innym przypadku zostałyby wykonane przez sam zakład ubezpieczeń lub zakład reasekuracji[9]. W wytycznej 1 Projektu wskazano ponadto, że dla kwalifikacji czynności jako outsourcingu regulowanego zakład ubezpieczeń lub zakład reasekuracji powinien wziąć pod uwagę:

1. czy funkcja lub jej część będąca przedmiotem powierzenia innemu dostawcy jest wykonywana w sposób powtarzalny lub ciągły
   oraz
2. czy funkcja lub jej część będąca przedmiotem powierzenia byłaby w normalnych okolicznościach wykonywana przez zakład ubezpieczeń lub zakład reasekuracji w toku działalności biznesowej, nawet jeśli nie była wykonywana dotychczas.

Powyższe założenie EIOPA należy ocenić zasadniczo pozytywnie. Alternatywą byłoby objęcie zakresem Wytycznych każdego przypadku korzystania przez zakład ubezpieczeń lub zakład reasekuracji z usług przetwarzania danych w chmurze, co wydawałoby się nadmiarowe i nieadekwatne z punktu widzenia zasady proporcjonalności, zgodnie z którą Wytyczne powinny być stosowane. Wątpliwości budzi natomiast wprowadzenie w Projekcie swego rodzaju domniemania, że korzystanie z usług przetwarzania danych w chmurze obliczeniowej stanowi outsourcing (cytat z wersji oryginalnej: „As a rule, outsourcing should be assumed”). Wydaje się, że taka kwalifikacja prawna powinna być dokonywana według przesłanek obiektywnych, bez konieczności przyjmowania tego rodzaju założeń wstępnych.

Niewątpliwą zaletą Wytycznych EBA jest to, że wprowadzają katalog przykładowych czynności, które – co do zasady – nie stanowią outsourcingu. Należy do nich m.in. korzystanie z usług audytorów zewnętrznych, agencji informacyjnych, izb rozliczeniowych, doradców prawnych lub podmiotów świadczących usługi związane z obsługą administracyjną biura. Wprowadzenie takiego katalogu stanowi cenną wskazówkę interpretacyjną, jak należy wykładać pojęcie outsourcingu objętego zakresem tych wytycznych. EIOPA nie zdecydowała się na wprowadzenie podobnego rozwiązania w ramach Projektu, wobec czego zainteresowane podmioty powinny postulować takie jego uzupełnienie na obecnym etapie konsultacji publicznych, aby niedopuszczalne było wnioskowanie a contrario w oparciu o porównanie Wytycznych EBA z Wytycznymi EIOPA.

W przypadku potwierdzenia, że korzystanie z usług przetwarzania danych w chmurze obliczeniowej stanowi w danym przypadku outsourcing regulowany, zgodnie z Projektem należy dokonać oceny, czy zachodzi outsourcing istotny (ang. material outsourcing), czy też nie. Przez outsourcing istotny należy zawsze rozumieć outsourcing krytycznych lub istotnych funkcji operacyjnych (ang. critical or important operational functions), kwalifikowanych zgodnie z Wytycznymi EIOPA dotyczącymi systemu zarządzania (znak: EIOPA-BoS-14/253 PL, dalej: „Wytyczne EIOPA dot. Systemu Zarządzania”)[10]. Wytyczna 7 Projektu określa dodatkowe kryteria, jakie zakład ubezpieczeń lub zakład reasekuracji powinien wziąć pod uwagę, klasyfikując outsourcing jako istotny. Należą do nich m.in.: wpływ awarii lub przerwy w dostawie usługi chmurowej na usługi świadczone przez zakład, możliwość zapewnienia zgodności z przepisami prawa lub zarządzania ryzykiem, zakres i stopień skomplikowania czynności wykorzystujących usługi przetwarzania danych w chmurze obliczeniowej oraz ich koszt. Co ciekawe, w Projekcie wskazano na potrzebę wzięcia pod uwagę ochrony zarówno danych osobowych, jak i danych nieosobowych[11] wraz z potencjalnym wpływem naruszenia poufności lub braku zapewnienia dostępności i integralności danych na przedsiębiorstwo, ubezpieczających lub inne podmioty. Od tego, czy dany przypadek korzystania z rozwiązań chmurowych zostanie zakwalifikowany jako outsourcing istotny, zależeć będzie, czy będą miały zastosowanie dodatkowe wymogi dotyczące m.in. informowania organów nadzoru o zawarciu umowy (wytyczna 4 Projektu), umowy z dostawcą usługi (wytyczna 10 Projektu) czy strategii wyjścia i zakończenia współpracy (wytyczna 15 Projektu). W toku konsultacji Projektu celowe wydaje się doprecyzowanie części kryteriów lub sposobu ich stosowania.

Czynności niezbędne przed zawarciem umowy z dostawcą usługi przetwarzania danych w chmurze obliczeniowej

Zgodnie z Projektem przed zawarciem umowy z dostawcą usługi przetwarzania danych w chmurze obliczeniowej zakład ubezpieczeń lub zakład reasekuracji zobowiązany będzie do realizacji następujących czynności:

1. oceny, czy w ramach umowy ma miejsce outsourcing istotny, kwalifikowany według kryteriów określonych w wytycznej 7 Projektu;
2. zidentyfikowania i oceny wszystkich istotnych ryzyk związanych z zawarciem umowy oraz przeprowadzenia analizy kosztów i korzyści wynikających z zawarcia umowy – zgodnie z wytyczną 8 Projektu. W przypadku outsourcingu istotnego analiza ryzyka powinna zostać przeprowadzona przed zawarciem umowy z dostawcą usługi oraz w każdym przypadku przed przedłużeniem umowy (jeśli zmianie ulega jej treść lub zakres). W tym ostatnim przypadku zasadnym wydaje się postulowanie zmiany Projektu poprzez wskazanie, że ponowna analiza ryzyka powinna mieć miejsce wtedy, gdy zmiana dotyczy istotnych postanowień umowy, mających wpływ na dotychczasową ocenę ryzyka współpracy. Niezależnie od powyższego analiza ryzyka współpracy z dostawcą usługi powinna być przeprowadzona w każdym przypadku, gdy zakład ubezpieczeń lub zakład reasekuracji poweźmie informację o istotnych zmianach lub nieprawidłowościach w ramach usług świadczonych przed dostawcę;
3. przeprowadzenia badania due diligence dostawcy usługi – zgodnie z wytyczną 9 Projektu. W ramach badania należy dokonać m.in. analizy wiedzy, doświadczenia oraz sytuacji ekonomicznej dostawcy. Dokumentami wspierającymi przeprowadzenie due diligence mogą być posiadane certyfikaty potwierdzające zgodność z powszechnie uznawanymi normami, wyniki audytów wewnętrznych lub zewnętrznych przeprowadzonych u dostawcy. Warto zauważyć, że Projekt nie ogranicza obowiązku przeprowadzenia badania do outsourcingu istotnego. Wydaje się, że takie rozwiązanie może w niektórych przypadkach stanowić dla zakładów ubezpieczeń lub zakładów reasekuracji nieproporcjonalne obciążenie w stosunku do niskiej wagi czynności będących przedmiotem powierzenia dostawcy usługi w ramach outsourcingu;
4. identyfikacji i oceny konfliktów interesów, jakie outsourcing może powodować – zgodnie z wymogami określonymi w art. 274 ust. 3 lit. b) rozporządzenia delegowanego Komisji (UE) 2015/35[12] (dalej: „Rozporządzenie Delegowane”).

Powyższe obowiązki zakładów ubezpieczeń oraz zakładów reasekuracji dotyczące etapu przedkontraktowego zasadniczo istnieją już na gruncie czy to obowiązujących przepisów prawa, czy Komunikatu KNF z 23 października 2017 r. (dalej: „Komunikat KNF”). Nie oznacza to jednak, że między Projektem a Komunikatem KNF nie występują pewne rozbieżności czy odmienne sformułowania. Słuszne wydaje się zatem postulowanie, aby KNF, w ramach nadzoru w obszarze korzystania z usług przetwarzania danych w chmurze obliczeniowej, po wejściu w życie Wytycznych opierała się w stosunku do zakładów ubezpieczeń i zakładów reasekuracji przede wszystkim na Wytycznych EIOPA, nie zaś prezentowała (inne) podejście krajowe. Konieczność stosowania dwóch regulacji dotyczących tej samej materii, w znacznej mierze zbliżonych jeśli chodzi o wymogi z nich wynikające, wydaje się nieuzasadniona i może w praktyce rodzić niepotrzebne trudności.

Obowiązki notyfikacyjne względem organu nadzoru oraz rejestr umów outsourcingu

Obowiązek zawiadomienia KNF o zamiarze zawarcia umowy outsourcingu funkcji należących do systemu zarządzania oraz podstawowych lub ważnych czynności („outsourcing istotny” według Wytycznych) istnieje już teraz na gruncie art. 75 ust. 2 u.d.u.r. Zgodnie z Wytycznymi EIOPA dot. Systemu Zarządzania zakład ubezpieczeń lub zakład reasekuracji w zawiadomieniu zamieszcza opis zakresu powierzanych czynności, przyczyny outsourcingu i nazwę usługodawcy oraz – jeżeli outsourcing dotyczy kluczowej funkcji – nazwisko osoby odpowiedzialnej za funkcje lub działania objęte outsourcingiem po stronie usługodawcy. Na gruncie Projektu zakres informacji, które należy przekazać do organu nadzoru (KNF), ulega znacznemu rozszerzeniu (zob. wytyczna 4 Projektu). Do dodatkowych elementów zawiadomienia należą m.in.: załączenie projektu umowy z dostawcą usługi, określenie prawa właściwego dla umowy, model świadczenia usługi (IaaS, PaaS lub SaaS), rodzaj dostępności infrastruktury chmurowej (publiczna, prywatna lub społecznościowa), charakter danych przekazywanych do przetwarzania w chmurze obliczeniowej, lokalizacja serwerów czy analiza zastępowalności dostawcy usługi.

W świetle art. 77 u.d.u.r. na zakładach ubezpieczeń i zakładach reasekuracji ciąży obowiązek prowadzenia wewnętrznej ewidencji umów outsourcingu, zawierającej podstawowe dane dostawcy usługi, zakres powierzonych czynności i funkcji oraz okres obowiązywania umowy. Projekt istotnie rozszerza zakres informacji, jakie powinien zawierać rejestr (zob. wytyczna 5 Projektu). Elementem, który nie występuje w rejestrze określonym w Wytycznych EBA, lecz występuje w Projekcie, jest opis zasad monitoringu czynności objętych outsourcingiem przez zakład ubezpieczeń lub zakład reasekuracji wskazujący dedykowane w tym celu osoby wykonujące te zadania i ich kompetencje w tym zakresie (zgodnie z Wytycznymi EBA tego rodzaju opis przekazywany jest na żądanie organu nadzoru). Niektóre punkty w Projekcie EIOPA nie są do końca jasne. Przykładowo: warto by doprecyzować, jakie warunki przesądzają o tym, że dostawca usług w chmurze (lub znaczący podwykonawca) wspiera operacje biznesowe krytyczne czasowo (czy chodzi np. o poziom dostępności, czy o opóźnienia). Należy także rozważyć, czy w rejestrze powinny znajdować się informacje dotyczące szacowanych rocznych kosztów budżetowych, które w odniesieniu do usług chmurowych często trudno określić.

Zgodnie z Projektem rejestr powinien obejmować wszystkie przypadki powierzenia określonych funkcji dostawcy usługi przetwarzania danych w chmurze obliczeniowej niezależnie od zakwalifikowania danego outsourcingu jako istotnego, aczkolwiek w odniesieniu do outsourcingu istotnego rejestr powinien zawierać dodatkowe elementy. Zakłady ubezpieczeń oraz zakłady reasekuracji powinny, w świetle zasady proporcjonalności, określić odpowiedni okres retencji, przez który będą przechowywane w rejestrze informacje dotyczące rozwiązanych lub wygasłych umów outsourcingu.

Wymogi wobec umów outsourcingu z dostawcami

W Projekcie podkreślono, że odpowiednie prawa i obowiązki podmiotu korzystającego z usług i dostawcy usług w chmurze powinny być wyraźnie przydzielone i określone w pisemnej umowie, przy czym wskazano także na minimalny zakres uzgodnień, stanowiący uzupełnienie wymogów określonych w art. 274 Rozporządzenia Delegowanego (wytyczna 10). Wskazano m.in. na konieczność uwzględnienia takich kwestii jak:

1. jasny opis usług świadczonych w chmurze;
2. okres obowiązywania umowy, w tym okres wypowiedzenia;
3. prawo i sąd właściwe dla danej umowy;
4. zobowiązania finansowe stron, w tym model wyceny usług świadczonych w chmurze;
5. warunki podwykonawstwa (o ile zostało ono dopuszczone);
6. lokalizacja przetwarzania danych (z uwzględnieniem krajów i lokalizacji centrów przetwarzania danych) oraz warunków zmiany tych lokalizacji;
7. warunki dotyczące dostępności, integralności, poufności, prywatności i bezpieczeństwa odpowiednich danych;
8. prawo do bieżącego monitorowania wydajności dostawcy usług przez podmiot korzystający z tych usług;
9. uzgodnione poziomy obejmujące ilościowe i jakościowe cele w zakresie wydajności, które są bezpośrednio mierzalne przez podmiot korzystający z usług w celu niezależnego monitorowania otrzymanych usług;
10. obowiązki sprawozdawcze dostawcy usług w chmurze (z uwzględnieniem zobowiązań do przedstawienia sprawozdań mających znaczenie dla funkcji audytu wewnętrznego podmiotu korzystającego z usług chmurowych);
11. ewentualne objęcie obowiązkowym ubezpieczeniem od niektórych rodzajów ryzyk wraz z żądanym poziomem ochrony ubezpieczeniowej;
12. wymagania dotyczące wdrażania i testowania biznesowych planów awaryjnych.

W Projekcie określono, że niezależnie od istotności outsourcingu umowa outsourcingu powinna obejmować wszystkie wymogi określone w art. 38 dyrektywy Solvency II. W szczególności podmiot korzystający z usług świadczonych w chmurze powinien dopilnować, aby umowa outsourcingowa lub jakiekolwiek inne ustalenia umowne nie utrudniały ani nie ograniczały jego organu nadzorczego w pełnieniu funkcji i celów nadzorczych oraz skutecznego nadzoru nad funkcjami i działaniami zlecanymi na zewnątrz.

Warto także zwrócić uwagę na zaakcentowanie zagadnień związanych z rozwiązaniem umowy i strategiami wyjścia (ang. exit plan), które powinny zapobiegać uzależnieniu od konkretnego dostawcy usług chmurowych. W Projekcie wyraźnie wskazano, iż w ramach umowy outsourcingu w chmurze (przynajmniej w przypadku istotnego outsourcingu) podmiot korzystający z tego typu usług powinien mieć jasno określoną klauzulę dotyczącą strategii wyjścia, zapewniającą, że w razie potrzeby będzie w stanie rozwiązać umowę. Wypowiedzenie powinno być przy tym możliwe bez uszczerbku dla ciągłości i jakości świadczenia usług na rzecz ubezpieczających (wytyczna 15).

W ramach prawa do rozwiązania umowy i strategii wyjścia wskazano nadto na potrzebę zidentyfikowania alternatywnych rozwiązań z uwzględnieniem planów przejścia (aby umożliwić także przeniesienie usług i danych do innego dostawcy usług w chmurze lub z powrotem do podmiotu korzystającego z tych usług). W tym zakresie podkreślono także kwestię konieczności trwałego usunięcia danych po zakończeniu świadczenia usług w chmurze (tj. po ich zwróceniu bezpośrednio do podmiotu korzystającego z tych usług lub przekazaniu do innego dostawcy usług).

Prawo kontroli i audytu dostawcy usług chmurowych

W Projekcie przewidziano, że umowa outsourcingowa nie powinna ograniczać przysługującego podmiotowi korzystającemu z usług prawa dostępu i audytu dostawcy oraz możliwości kontroli usług w chmurze w celu wypełnienia obowiązków regulacyjnych. Jednocześnie podkreślono potrzebę zapewnienia przekazywania korzystającemu z usług informacji potrzebnych do odpowiedniego zarządzania i monitorowania ryzyka związanego z outsourcingiem chmurowym (wytyczna 11).

Wskazano, że zakres wspomnianych audytów powinien obejmować m.in. ocenę usługodawcy oraz, w stosownych przypadkach, jego podwykonawców, proces zarządzania incydentami (w szczególności w przypadku naruszeń danych, zakłóceń w świadczeniu usług lub innych istotnych problemów), jak również ocenę przestrzegania wytycznych dotyczących outsourcingu w chmurze. Można zauważyć, że podobne prawo przewidziane jest niezależnie (w zakresie dotyczącym przetwarzania danych osobowych) w art. 28 ust. 3 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). Przy określaniu częstotliwości audytów wskazano na potrzebę wzięcia pod uwagę charakteru i zakresu ryzyka oraz wpływu na podmiot korzystający z usług outsourcingu w chmurze obliczeniowej. Niemniej jednak warto zauważyć, że w Projekcie dostrzeżono istotny dla wszystkich dużych dostawców usług informatycznych (nie tylko chmurowych) problem dotyczący potencjalnego obciążenia organizacyjnego powstającego w związku z ich audytowaniem. Niewątpliwie w przypadku świadczenia usług na dużą skalę (np. dla różnych zakładów ubezpieczeń) dostawca usług chmurowych mógłby być istotnie obciążony ze względu na konieczność poddawania się cyklicznym audytom prowadzonym przez różnych jego klientów. Stąd też w Projekcie (w celu bardziej efektywnego wykorzystania zasobów audytu oraz zmniejszenia obciążenia organizacyjnego spoczywającego na dostawcy usług chmurowych i jego klientach) dopuszczono możliwość:

1. korzystania przy realizacji prawa do audytu z certyfikatów oraz raportów stron trzecich lub raportów wewnętrznych udostępnionych przez dostawcę usług chmurowych;
2. audytów zbiorczych (np. przeprowadzanych wspólnie z innymi klientami tego samego dostawcy usług chmurowych) lub przeprowadzanych przez innych klientów lub przez wskazany przez nich podmiot.

Takie rozwiązanie wydaje się racjonalne, jakkolwiek warto mieć na uwadze, że w Projekcie umieszczono liczne zastrzeżenia w odniesieniu do realizacji prawa do audytu poprzez certyfikaty oraz raporty stron trzecich lub raporty wewnętrzne udostępnione przez dostawcę usług chmurowych. Wskazano m.in., że w przypadku szczególnych potrzeb umownie powinno być zachowane prawo do przeprowadzania indywidualnych kontroli na miejscu według własnego uznania w zakresie dotyczącym istotnego outsourcingu. Kwestie te opisano zasadniczo podobnie w Wytycznych EBA, jednakże EBA bardziej restrykcyjnie podchodzi do zagadnień związanych z outsourcingiem krytycznych lub istotnych funkcji. W tym zakresie celowe byłoby zachowanie większej spójności w Projekcie EIOPA.

Wydaje się ponadto, że Wytyczne powinny zawierać bardziej precyzyjnie odniesienie do dopuszczalności częściowego wyłączenia prawa do bezpośredniej realizacji uprawnień audytowych przez podmiot korzystający z usług świadczonych w chmurze obliczeniowej. Mając na uwadze skalę działalności dostawców usług chmurowych, zasadne wydaje się rozważenie przyjęcia jako standardu możliwości korzystania z audytu, certyfikatów oraz raportów stron trzecich, a ewentualne bezpośrednie realizowanie uprawnień audytowych ograniczyć do sytuacji, w których dostarczone certyfikaty lub raporty stron trzecich okazałyby się niewystarczające.

Suboutsourcing

W Projekcie zaakcentowano także potrzebę umownego określenia, czy podoutsourcing jest dozwolony, czy też wykluczony. W szczególności wskazano, że dla spełnienia wymogów wynikających z art. 274 ust. 4 lit. k) i lit. l) Rozporządzenia Delegowanego, umowa w sprawie outsourcingu w chmurze powinna określać, w stosownych przypadkach, czy podwykonawstwo krytycznych lub ważnych funkcji dotyczących działalności podmiotu korzystającego z usług chmurowych lub znacznych ich części są dozwolone lub wyraźnie wykluczone.

Zaznaczono, że podmiot korzystający z usług w chmurze powinien zgodzić się na podoutsourcing, wyłącznie jeśli podwykonawca będzie w pełni realizował obowiązki nałożone w pierwszej kolejności na dostawcę usług chmurowych. Obowiązki te obejmują przede wszystkim prawa do audytu i dostępu oraz odpowiednie zabezpieczenie danych i systemów. Ponadto umowa dotycząca outsourcingu w chmurze powinna określać, jakiego rodzaju czynności są wykluczone z potencjalnego podwykonawstwa, jak również wskazywać, że dostawca ponosi pełną odpowiedzialność za usługi, które zlecił podwykonawcom. Dodatkowe wymogi odnoszą się także do informowania o podwykonawcach oraz zagwarantowania prawa sprzeciwu w sytuacji, w której zmiany miałyby niekorzystny wpływ na ocenę ryzyka uzgodnionych usług (wytyczna 13).

Wytyczne mają istotne znaczenie w kontekście aktualnie rozpowszechnionej wykładni przepisów u.d.u.r., które nie regulują wprost kwestii suboutsourcingu. Niekiedy – zdaniem autorów niesłusznie – przyjmuje się bowiem, że w przepisach tych wyłączono możliwość dalszego outsourcingu („podoutsourcingu”): „Należy wyłączyć możliwość dokonania przez dostawcę usług dalszego powierzenia wykonywania czynności lub funkcji zakładu (które to czynności lub funkcje dostawca ten wykonuje na mocy postanowień umowy outsourcingu) innemu podmiotowi. W świetle postanowień z art. 73 u.d.u.r. takiego powierzenia może dokonać wyłącznie zakład. Wyłączyć należy zatem w ogólności możliwość dokonywania dalszego outsourcingu (outsourcingu wtórnego) przez dostawcę usług outsourcingowych (podzlecenia czynności outsourcingowych). Takie hipotetyczne podzlecenie byłoby bowiem w opozycji do postanowień z art. 74 i 75 u.d.u.r.”[13]. Takie rozwiązanie byłoby bardziej restrykcyjne niż to przyjęte w przypadku działalności bankowej (gdzie podoutsourcing jest dopuszczalny). Warto jednak mieć na uwadze, że w doktrynie prezentowane są także słuszne stanowiska odmienne w zakresie wykładni pojęcia outsourcingu wskazanego w art. 3 ust. 1 pkt 27 u.d.u.r: „Przedstawiona definicja dopuszcza również możliwość tzw. suboutsourcingu, czyli dalszego zlecenia innym podmiotom usług outsourcingowych przez podmiot, który przyjął takie pierwotne zlecenie od zakładu ubezpieczeń lub zakładu reasekuracji”[14]. Co ciekawe, możliwości suboutsourcingu w ogóle nie wykluczają przepisy dyrektywy Solvency II, gdzie wprost stwierdzono, że outsourcing może być realizowany w drodze suboutsourcingu (zob. art. 13 pkt 28 dyrektywy Solvency II). Możliwość suboutsourcingu przewidziano także w Rozporządzeniu Delegowanym, dlatego też definicja znajdująca się w art. 3 ust. 1 pkt 27 u.d.u.r., która całkowicie przemilcza tę kwestię, budzi wątpliwości.

Wydaje się, że w Wytycznych EIOPA powinno jednak znaleźć się odniesienie do ewentualnej dopuszczalności kolejnych poziomów suboutsourcingu (tzw. suboutsourcing łańcuchowy) nawiązujące do dyrektywy Solvency II i Rozporządzenia Delegowanego. Pozytywnie należy natomiast odnieść się do wytycznych dopuszczających wprost podoutsourcing w ramach usług chmurowych. Całkowite wykluczenie podoutsourcingu w praktyce uniemożliwiłoby korzystanie w większości przypadków z tego typu usług, które z racji swojego charakteru opierają się zazwyczaj na większej liczbie podwykonawców.

Mając na uwadze treść Wytycznych, warto na gruncie przepisów u.d.u.r. rozważyć także możliwość szerszego przyjęcia dopuszczalności podoutsourcingu w ramach działalności ubezpieczeniowej w związku z podzlecaniem różnego rodzaju usług – nie tylko tych związanych z przetwarzaniem danych przy użyciu chmury obliczeniowej.

[1] Zob. https://businessinsider.com.pl/gielda/wiadomosci/microsoft-wyniki-finansowe-za-iv-kw-2019-roku/x9gc5b7.

[2] Tekst Wytycznych EBA dostępny jest pod adresem https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_PL.pdf.

[3] Zob. https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf.

[4] Tekst projektu wytycznych jest dostępny pod adresem https://eiopa.europa.eu/Publications/Consultations/2019-07-01%20ConsultationDraftGuidelinesOutsourcingCloudServiceProviders.pdf.

[5] Formularz do zgłaszania uwag dostępny jest pod adresem https://ec.europa.eu/eusurvey/runner/Consultation_Cloud_GL_2019.

[6] Dyrektywa Parlamentu Europejskiego i Rady 2009/138/WE z dnia 25 listopada 2009 r. w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. Urz. UE L 335 z 17.12.2009, s. 1).

[7] W doktrynie wskazuje się, że umowy agencyjne co do zasady nie powinny być kwalifikowane jako umowy outsourcingowe: „Za słuszne należy uznać stanowisko, zgodnie z którym umowy agencyjnie nie są objęte przepisami dotyczącymi outsourcingu. Takie stanowisko uzasadnia fakt, że katalog czynności, których powierzenie innemu podmiotowi powinno odbywać się w drodze outsourcingu, nie obejmuje czynności związanych z zawieraniem umów ubezpieczenia. Jednakże w przypadku gdyby w ramach umowy agencyjnej powierzono agentowi wykonywanie jakichkolwiek czynności, które są uwzględnione w omawianym katalogu, wówczas bez wątpienia znajdą zastosowanie przepisy dotyczące outsourcingu” (P. Czublun (red.), Ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Komentarz, Warszawa, 2016).

[8] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (tekst jedn.: Dz. U. z 2019 r., poz. 381).

[9] W Polsce szczegółowe zasady dotyczące outsourcingu ubezpieczeniowego uregulowano w art. 73–77 u.d.u.r.

[10] Zob. https://eiopa.europa.eu/GuidelinesSII/EIOPA_Guidelines_on_System_of_Governance_PL.pdf.

[11] Kwestie dotyczące danych innych niż osobowe regulują obecnie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Dz. Urz. UE L 303 z 28.11.2018, s. 59). Niezależnie od przepisów tego rozporządzenia warto mieć także na uwadze, że w przypadku działalności ubezpieczeniowej niektóre dane (np. dotyczące poszczególnych umów ubezpieczenia osób prawnych), mimo braku charakteru danych osobowych, mogą stanowić tajemnicę ubezpieczeniową w rozumieniu 35 ust. 1 u.d.u.r.

[12] Rozporządzenie delegowane Komisji (UE) 2015/35 z dnia 10 października 2014 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2009/138/WE w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. Urz. UE L 12 z 17.01.2015, s. 1).

[13] P. Wajda, Art. 73, [w:] Ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Komentarz, Wolters Kluwer, 2017.

[14] P. Czublun (red.), dz. cyt.

W dniu 9 września 2019 r. na stronie internetowej Urzędu Ochrony Danych Osobowych pojawiła się odpowiedź na pismo skierowane do organu nadzorczego przez prezesa Związku Banków Polskich[1].

Tekst wzbudził bardzo duże kontrowersje i był żywo komentowany w zasadzie od razu  po publikacji.

Próbując odpowiedzieć na pytanie, co miał na myśli Prezes UODO, można stwierdzić, że… nie wiadomo – poza tym, że najwyraźniej nie podoba mu się kopiowanie dokumentów tożsamości przez banki.

Warto na chłodno przyjrzeć się stanowisku przedstawionemu przez organ nadzorczy. Po pierwsze wydaje się ono rewolucyjne względem dotychczasowej linii orzeczniczej (w świetle której kopiowanie dokumentów było uznawane wyłącznie za czynność techniczną[2]. Po drugie trudno sobie wyobrazić jego praktyczne stosowanie przez banki (banki krajowe, oddziały instytucji kredytowych, oddziały banków zagranicznych). Po trzecie można odnieść wrażenie, że organ nadzorczy postanowił rozszerzyć swoje kompetencje wynikające z ogólnego rozporządzenia o ochronie danych (dalej: „RODO”)[3], a doprecyzowane w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: „u.o.d.o.”)[4]. Zamiast monitorować i egzekwować stosowanie przepisów RODO (zgodnie z art. 57 ust. 1 lit. a) RODO i art. 34 ust. 2 i innymi przepisami u.o.d.o.) przyjął najwyraźniej, że lepiej będzie wystąpić w roli prawodawcy.

Organ nie zakwestionował wprawdzie możliwości legalnego kopiowania dokumentów tożsamości przez banki, niemniej jednak ewidentnie uznał, że takie działanie powinno mieć charakter ograniczony. Można by zgodzić się z jego rozważaniami na temat art. 112b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej: „p.b.”)[5] czy z niektórymi spostrzeżeniami dotyczącymi ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „ustawa AML”)[6], ale trudno zaakceptować jego postulaty związane ze szczególnym traktowaniem kopii dokumentów tożsamości[7].

Prezes UODO nie ograniczył się do zwykłej interpretacji przepisów, stwierdzając, iż „sporządzanie kopii dowodów tożsamości w ocenie organu nadzorczego jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy”. Należy zauważyć przy tym, że organ nie stosuje konsekwentnie określonych terminów, raz wskazując na „kopie dowodów tożsamości”, innym razem zaś na „kopie dokumentów tożsamości”. Nieprecyzyjne słownictwo wskazuje na pobieżne potraktowanie problematyki. Nie sposób zresztą racjonalnie przyjąć, że w świetle obowiązujących przepisów można mówić o sporządzeniu „kopii dowodu tożsamości”, skoro skopiować można co najwyżej dokument tożsamości, który to dokument może dopiero stanowić dowód tożsamości. Trudno więc oczekiwać, że organ w ogóle rozważał ewentualne wątpliwości w zakresie tego, czy pojęcie „dokument tożsamości”, o którym mowa w ustawie AML czy w art. 112b p.b., powinno ograniczać się wyłącznie do dokumentów stwierdzających tożsamość, czy też może obejmować także innego rodzaju dokumenty.

Niezależnie od tych uwag brak jest jakiegokolwiek przepisu prawa (zwłaszcza przepisu RODO), który uzasadniałby stanowisko przedstawione przez Prezesa UODO. Prezentując streszczony powyżej pogląd, organ nadzorczy zaproponował – jak się zdaje – wprowadzenie kolejnego rodzaju danych osobowych (danych znajdujących się w dokumentach tożsamości) czy też jedynej w swoim rodzaju operacji przetwarzania (kopiowania dokumentów tożsamości), które wymagają szczególnej podstawy prawnej, tj. przepisów rangi ustawowej.

Taka konstrukcja jawi się jako nieuzasadniona. W RODO można wyróżnić trzy rodzaje danych:

• dane zwykłe (które mogą być przetwarzane w oparciu o jedną z podstaw wskazanych w art. 6 ust. 1 RODO);
• szczególne kategorie danych – tzw. dane wrażliwe (które mogą być przetwarzane w oparciu o jedną z podstaw wskazanych w art. 9 ust. 2 RODO);
• dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (których przetwarzania na podstawie art. 6 ust. 1 RODO wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą).

Warto mieć na uwadze, że obecnie żaden z tych rodzajów danych osobowych nie musi mieć specjalnej podstawy prawnej (jedynie) w ustawie (jak wydaje się chcieć Prezes UODO w swym stanowisku), aby można je było legalnie przetwarzać (wymóg taki względem tzw. danych wrażliwych przewidywały nieobowiązujące już przepisy ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.). Artykuł 6 ust. 1 lit. c) RODO (w zakresie danych zwykłych), art. 9 ust. 2 lit. b), g), i), j) RODO (w zakresie danych wrażliwych) czy art. 10 RODO (w zakresie danych wskazanych w tym przepisie) wspominają wyłącznie o obowiązku prawnym lub przepisach prawa Unii lub prawa państwa członkowskiego, które w określonych okolicznościach mogą stanowić podstawę prawną przetwarzania. W porządku prawnym Rzeczypospolitej Polskiej katalog źródeł prawa określa art. 87 Konstytucji RP[8] zgodnie z którym źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (ust. 1), a także akty prawa miejscowego na obszarze działania organów, które je ustanowiły (ust. 2).

Wydaje się, że przynajmniej teoretycznie akt każdego z wymienionych rodzajów (a nie tylko ustawa) mógłby określać zasady dotyczące przetwarzania danych znajdujących się w dokumentach tożsamości.

Kopia dowodu osobistego nie zawiera danych wrażliwych w rozumieniu art. 9 ust. 2 RODO, a jedynie dane zwykłe (w zależności od wersji dokumentu tożsamości danych tych może być mniej lub więcej). Nie ma przy tym żadnych uzasadnionych podstaw do tego, by kopię dokumentu tożsamości należało traktować jako swoiste dane szczególnej kategorii, które można przetwarzać wyłącznie na podstawie przepisów ustawowych. Wystarczające gwarancje w tej mierze zapewniają zasady ujęte w art. 5 RODO (w szczególności zasada minimalizacji danych – art. 5 ust. 1 lit. c) RODO).

Administrator danych musi oczywiście posiadać podstawę prawną do zebrania danych osobowych, natomiast sposób, w jaki to zebranie nastąpi (spisanie lub skopiowanie danych), jest kwestią absolutnie wtórną.

Prezes UODO trafnie przytoczył przepisy ustawy AML, w szczególności jej art. 34 i 35. Przepisy te pozwalają przyjąć, że instytucje obowiązane (w tym banki) mogą przetwarzać dane znajdujące się w dokumentach tożsamości na podstawie art. 6 ust. 1 lit. c) RODO.

Kluczowy wydaje się tutaj art. 34 ust. 4 ustawy AML, który przesądza, że instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. W przypadku banków można ponadto powoływać się zasadnie na art. 112b p.b., zgodnie z którym banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Warto jednak pamiętać, że instytucjami zobowiązanymi w rozumieniu ustawy AML mogą być również inne zobowiązane do stosowania tych przepisów podmioty (nie tylko banki!), które mogą mieć jeszcze większe wątpliwości w konsekwencji stanowiska zaprezentowanego przez organ nadzorczy. Jako przykład można podać krajowe instytucje płatnicze, które w ustawie o usługach płatniczych[9] nie znajdują przepisu analogicznego do tego, który obowiązuje banki. Pewne wątpliwości na gruncie p.b. mogą dotyczyć tego, czy dokument tożsamości powinien być rozumiany wąsko (jedynie jako dokument stwierdzający tożsamość), czy raczej powinien obejmować także innego rodzaju dokumenty, co było już przedmiotem rozważań doktryny: „Istnieją wątpliwości odnośnie do zakresu pojęcia «dokument tożsamości». Z pewnością do dokumentów tożsamości można zaliczyć dowód osobisty, paszport, karty stałego pobytu wydawane cudzoziemcom. Nie jest jednak jasne, czy dokumentem tożsamości w rozumieniu komentowanego przepisu mogłoby być także np. prawo jazdy, legitymacja szkolna (za szerokim rozumieniem dokumentu tożsamości opowiada się M. Bączyk, w: Prawo…, s. 603). Z punktu widzenia celu, dla którego banki mogą przetwarzać dane zawarte w dokumentach tożsamości, szerokie rozumienie tego pojęcia byłoby jak najbardziej uzasadnione”[10]. Podobne wątpliwości mogą się pojawiać na gruncie ustawy AML, lecz do tej kwestii organ nadzorczy w ogóle się nie odniósł.

W odpowiedzi Prezesa UODO zabrakło jednoznacznego wskazania, że dane zawarte w dokumentach tożsamości to takie same dane jak dane innego rodzaju – jego stanowisko jest w tym względzie niejasne.

W świetle dotychczasowej praktyki oraz orzecznictwa, których słuszność nie budzi wątpliwości, kopiowanie (np. dokumentu tożsamości) jest czynnością techniczną i jednym ze sposobów zbierania danych osobowych. Żaden z przepisów RODO nie zabrania konkretnego sposobu zbierania danych. Ponownie należy podkreślić, że kluczowy jest zakres zbieranych danych, który powinien być oceniany pod kątem legalności i adekwatności przetwarzania, sposób zbierania danych jest natomiast kwestią wtórną.

Błędne wydaje się przyjęcie, że nowe zagrożenia mogą skutkować kwestionowaniem legalności przetwarzania danych. Takie podejście – co widać na przykładzie odpowiedzi Prezesa UODO – może prowadzić do nieuzasadnionego tworzenia szczególnych podstaw prawnych (nieprzewidzianych w przepisach!) w celu zapewnienia legalności określonych operacji przetwarzania konkretnych rodzajów danych.

Przyjęcie takich rozwiązań prowadzić będzie jedynie do kolejnych absurdów. Idąc tym tropem rozumowania, można by dojść do wniosku, że w kolejnej odpowiedzi organ nadzorczy uzna, iż możliwość przetwarzania wizerunku utrwalonego na zdjęciu wymaga szczególnej podstawy prawnej (np. osobnej zgody podmiotu danych), ponieważ pojawiły się nowe zagrożenia związane np. ze zjawiskiem deepfake[11]. Jeśli określony rodzaj danych (czy dokumentów) może wiązać się z dodatkowymi zagrożeniami, racjonalne wydaje się przyjęcie dodatkowych środków zabezpieczających dane (np. ograniczenie dostępu do danych w ramach organizacji bądź specjalne oznaczenie takich danych lub kopii dokumentów), a nie kwestionowanie podstawy prawnej przetwarzania danych, która w określonych okolicznościach w ogóle nie powinna budzić wątpliwości.

Wracając do działalności bankowej i obowiązków związanych z realizacją wymogów określonych w ustawie AML, należałoby uznać, że kopiowanie dokumentów tożsamości przez banki powinno być zasadą, od której ewentualne wyjątki mogłyby być uregulowane wewnętrznymi procedurami.

Przede wszystkim trzeba mieć na uwadze, że zgodnie z art. 35 ust. 1 pkt 1 ustawy AML instytucje zobowiązane stosują środki bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych. Wydaje się zatem, że w każdym przypadku, w którym osoba zamierza założyć konto (w oddziale banku czy online), procedura bankowa powinna w zasadzie nakazywać sporządzenie kopii bądź skanu dokumentu tożsamości w celu realizacji wymogów ustawy AML. W świetle wyjaśnień Prezesa UODO wcale nie jest to oczywiste – wręcz można uznać, że pracownik banku powinien, zgodnie z zasadami celowości i minimalizacji, o których mowa w RODO, ocenić, czy czynność skopiowania dokumentu jest niezbędna, skoro art. 34 ust. 4 ustawy AML przewiduje taką możliwość, a nie obowiązek.

Być może w ocenie organu nadzorczego byłoby najlepiej (w celu uniknięcia zarzutu naruszenia zasady adekwatności), gdyby bank zwrócił się do klienta o przekazanie kopii dokumentu tożsamości dopiero w momencie zlecenia przeprowadzenia transakcji okazjonalnej na 15 000 euro lub większej. W rzeczywistości trudno sobie wyobrazić, jak w praktyce miałaby wyglądać realizacja wymogów wynikających z ustawy AML w świetle rozważań Prezesa UODO.

Szkoda, że organ nadzorczy nie zajmuje się działaniami, do których jest wprost uprawniony zgodnie z art. 58 ust. 3 RODO (np. przyjmowaniem standardowych klauzul ochrony danych, o których mowa w art. 28 ust. 8 RODO, czy sprawnym opiniowaniem i zatwierdzaniem projektów kodeksów postępowania zgodnie z art. 40 ust. 5 RODO), ani też nie korzysta z dodatkowych uprawnień przewidzianych w przepisach u.o.d.o. Przykładowo: art. 53 ust. 1 pkt 4 u.o.d.o. przewiduje, że Prezes UODO udostępnia na swojej stronie internetowej w Biuletynie Informacji Publicznej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Tego typu zalecenia, jakkolwiek nie posiadają charakteru wiążącego, mogłyby jednak w przypadku konkretnej działalności stanowić istotne wsparcie dla administratorów danych (w tym instytucji zobowiązanych w rozumieniu ustawy AML).

Niestety, zamiast przedstawiać rekomendacje dotyczące ewentualnych środków technicznych i organizacyjnych, które powinny zostać skonsultowane z zainteresowanymi podmiotami, organ nadzorczy zajął kolejne kontrowersyjne stanowisko.

[1] Tekst odpowiedzi Prezesa UODO dostępny jest pod adresem: https://uodo.gov.pl/pl/138/1182.

[2] „gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych. Inaczej mówiąc, posługiwanie się taką czy inną techniką utrwalania danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania).” – uzasadnienie wyroku NSA z dnia 19 grudnia 2001 r., sygn. II SA 2869/00

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).

[4] Dz. U. poz. 1000 ze zm.

[5] Tekst jedn.: Dz. U. z 2018 r., poz. 2187 ze zm.

[6] Tekst jedn.: Dz. U. z 2019 r., poz. 1115 ze zm.

[7] W świetle aktualnych przepisów zabronione jest jedynie wytwarzanie, oferowanie, zbywanie lub przechowywanie repliki dokumentu publicznego (art. 58 ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych – Dz. U. z 2019 r., poz. 53 ze zm.). Zgodnie z art. 2 ust. 1 pkt 2 ustawy o dokumentach publicznych przez dokument publiczny należy rozumieć dokument, który służy do identyfikacji osób, rzeczy lub potwierdza stan prawny lub prawa osób posługujących się takim dokumentem, zabezpieczony przed fałszerstwem i: a) wytwarzany według wzoru określonego w przepisach prawa powszechnie obowiązującego albo; b) którego wzór graficzny i forma zostały zatwierdzone przez podmiot realizujący zadania publiczne uprawniony na podstawie odrębnych przepisów i który jest zgodny z wymogami dla blankietu tego dokumentu określonymi w przepisach prawa powszechnie obowiązującego.

[8]Dokumentem publicznym może być także dokument potwierdzający tożsamość osoby, jednakże skan lub kserokopię dokumentu, co do zasady, nie sposób uznać za replikę dokumentu publicznego w rozumieniu art. 2 ust. 1 pkt 6 ww. ustawy. Przykładami dokumentów potwierdzających tożsamość mogą być dowód osobisty (zgodnie z art. 4 ust. 1 ustawy z dnia 6 sierpnia 2010 r. o dowodach osobistych – tekst jedn.: Dz. U. z 2019 r., poz. 653 ze zm.) czy dokument paszportowy (zgodnie z art. 4 ustawy z dnia 13 lipca 2006 r. o dokumentach paszportowych – tekst jedn.: Dz. U. z 2018 r., poz. 1919 ze zm.).

Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu 25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r. – Dz. U. nr 78, poz. 483 ze zm

[9] Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych – tekst jedn.: Dz. U. z 2019 r., poz. 659 ze zm.

[10] „A. Kawulski, Art. 112(b). W: Prawo bankowe. Komentarz [online]. Wydawnictwo Prawnicze LexisNexis, 2019-08-19 14:32 [dostęp: 2019-09-12 16:09]. Dostępny w Internecie: https://sip.lex.pl/#/commentary/587390183/187623

[11] W sieci pojawiło się wiele przykładów deepfake. Niektóre mogą wzbudzać niepokój (np. spreparowane nagrania wypowiedzi światowych przywódców), niektóre bawić – jak w przypadku nagrania, w którym Jon Snow (grany przez Kita Haringtona) przeprasza widzów za zakończenie serialu „Gra o tron”.

W dniu 4 maja 2019 r. weszła w życie długo oczekiwana ustawa zmieniająca szereg innych ustaw której celem jest dostosowanie polskiego porządku prawnego do uwarunkowań wynikających z wejścia do stosowania ogólnego rozporządzenia o ochronie danych. Najwięcej kontrowersji na etapie prac legislacyjnych wzbudziły m.in. projektowane zmiany Prawa bankowego w zakresie przepisów dotyczących przetwarzania danych osobowych do celów oceny zdolności kredytowej i analizy ryzyka kredytowego.

****

Mowa o Ustawie z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanej dalej „Ustawą Sektorową”. Po przyjęciu nowej Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych uchwalenie Ustawy Sektorowej stanowi kontynuację działań polskiego ustawodawcy zmierzających do zapewnienia skutecznego stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej jako „RODO”), a w niektórych przypadkach do usunięcia przepisów, które są z RODO sprzeczne lub powielają rozwiązania w nim przyjęte. W sektorze finansowym zmiany wprowadzono m.in. w Ustawie z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej jako „pr. bank.”).

Zmiany dotyczące przeprowadzania oceny zdolności kredytowej i analizy ryzyka kredytowego

W pierwszej kolejności należy zwrócić uwagę na przepisy, na gruncie których m.in. banki, SKOK-i, inne instytucje upoważnione do udzielania kredytów, instytucje pożyczkowe czy Biuro Informacji Kredytowej będą mogły podejmować decyzje w oparciu wyłącznie o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie, w procesie dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 1a–1c pr. bank.). W praktyce oznacza to, że np. decyzja o udzieleniu kredytu lub pożyczki przez bank będzie mogła zapaść w sposób w pełni zautomatyzowany (bez ingerencji ludzkiej) na podstawie danych i informacji posiadanych przez bank, w wyniku zastosowania odpowiednich algorytmów. Gdyby nie wprowadzono omawianych przepisów, wymienione w nich instytucje, w tym przede wszystkim banki, musiałyby – przed dokonaniem oceny zdolności kredytowej opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych – pozyskać wyraźną zgodę osoby ubiegającej się o kredyt lub pożyczkę (ewentualnie argumentować, że taka zautomatyzowana decyzja jest niezbędna do zawarcia lub wykonania umowy, co w większości przypadków wydaje się trudne do obrony). Dzięki wprowadzonym przepisom uprawnienie do dokonywania takiej oceny wynika obecnie bezpośrednio z przepisów prawa i nie istnieje potrzeba poszukiwania innej podstawy prawnej dla takich działań. Powyższe zmiany uwzględniają fakt, że polski rynek finansowy, w tym bankowy, jest jednym z najbardziej zaawansowanych technologicznie w Unii Europejskiej, a wprowadzone zmiany powinny wpływać pozytywnie na efektywność procesu badania i oceny ryzyka związanego z przyznaniem kredytu lub pożyczki.

Ustawowe uprawnienie do podejmowania – w określonych przypadkach – decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, wynika z art. 22 ust. 2 lit. b RODO. Przepis ten jednocześnie wymaga, aby prawo państwa członkowskiego wprowadzające takie uprawnienie przewidywało właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Do takich środków, przewidzianych w art. 105a ust. 1a pr. bank., należy zaliczyć nałożony na banki oraz inne instytucje wymienione w tym przepisie obowiązek zapewnienia osobie, której dotyczy decyzja podejmowana w zautomatyzowany sposób, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. Warto zwrócić uwagę, że ochrona danych osobowych klientów banków, w tym danych pozyskanych na etapie badania zdolności kredytowej, zapewniona jest również w przepisach o tajemnicy bankowej (art. 104 pr. bank.), której naruszenie może skutkować odpowiedzialnością administracyjną, cywilną oraz karną.

Zautomatyzowane decyzje w procesie dokonywania oceny zdolności kredytowej oraz analizy ryzyka kredytowego mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu – tak wprost stanowi dodany w Ustawie Sektorowej art. 105a ust. 1b pr. bank. Przepis ten jest spójny z określoną w art. 5 ust. 1 lit. c) RODO zasadą minimalizacji danych, zgodnie z którą przetwarzanie danych osobowych musi być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Rządowy projekt Ustawy Sektorowej, przygotowany przez Ministerstwo Cyfryzacji i przekazany pod obrady sejmu, zakładał wprowadzenie zamkniętego katalogu danych, w oparciu o które możliwe byłoby podejmowanie decyzji bazujących na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego. Takie rozwiązanie wywołało szeroki sprzeciw środowiska bankowego, z którego płynęły głosy, że jego przyjęcie prowadziłoby do naruszenia funkcjonujących obecnie złożonych modeli scoringowych (punktowych) stosowanych w celu ustalenia wiarygodności kredytowej wnioskujących o kredyt, które uwzględniają również czynniki inne niż wymienione wprost w katalogu ustawowym. Przyjęta ostatecznie wersja przepisów Ustawy Sektorowej określa przykładowy (otwarty) katalog danych, na podstawie których możliwe będzie podjęcie w pełni zautomatyzowanej decyzji dotyczącej przyznania kredytu. W każdym jednak przypadku kredytodawca powinien być w stanie wykazać, że dane przetwarzane w celu oceny zdolności kredytowej oraz analizy ryzyka kredytowego są do osiągnięcia tego celu niezbędne, co powinno zapobiegać ich nadmiernemu wykorzystaniu. W ustawie określono również, że do celów podejmowania zautomatyzowanych decyzji dotyczących przyznania kredytu nie mogą być przetwarzane szczególne kategorie danych, o których mowa w art. 9 RODO (tzw. dane wrażliwe), takie jak dane genetyczne, dane dotyczące zdrowia, dane ujawniające pochodzenie rasowe, poglądy polityczne, przekonania religijne czy światopoglądowe.

Niezależenie od tego, czy decyzja o udzieleniu kredytu jest podejmowana w sposób zautomatyzowany, czy przy udziale człowieka, banki oraz inne instytucje ustawowo upoważnione do udzielania kredytów są zobowiązane, na wniosek podmiotu ubiegającego się o kredyt, przekazać mu w formie pisemnej wyjaśnienie dotyczące oceny jego zdolności kredytowej. Obowiązek ten wynika z wprowadzonego Ustawą Sektorową art. 70a pr. bank. Dotychczas możliwość uzyskania tego rodzaju wyjaśnień przysługiwała wyłącznie przedsiębiorcom (na podstawie uchylonych ust. 5 i 6 w art. 70 pr. bank.), obecnie zaś jest otwarta również dla konsumentów. Wyjaśnienia powinny zawierać informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. W przypadku wnioskujących o kredyt będących konsumentami przekazanie wyjaśnień ma być bezpłatne, natomiast w przypadku przedsiębiorców ewentualna opłata za sporządzenie wyjaśnień powinna być odpowiednia do wysokości kredytu.

Przetwarzanie danych osobowych na potrzeby tzw. systemów antyfraudowych

W wyniku wejścia w życie Ustawy Sektorowej zmianie uległo brzmienie art. 106d pr. bank., który dotyczy przetwarzania i udostępniania informacji w ramach tzw. systemów antyfraudowych. W myśl tego przepisu instytucje udzielające finansowania (kredytów, pożyczek, leasingu) mogą wymieniać między sobą informacje dotyczące podejrzeń popełnienia przestępstw na ich szkodę. W wyniku dodania ust. 2 w art. 106d pr. bank. podmioty wymienione w art. 106d ust. 1 pr. bank. będą uprawnione do przetwarzania, w tym udostępniania, informacji dotyczących wyroków skazujących dotyczących przestępstw dokonywanych na szkodę podmiotów udzielających finansowania, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom. Wprowadzenie takiego ustawowego uprawnienia ma związek z art. 10 RODO, który stanowi, iż przetwarzanie danych osobowych dotyczących wyroków skazujących lub naruszeń prawa jest możliwe wyłącznie pod nadzorem władz publicznych lub jeżeli jest dozwolone prawem Unii Europejskiej lub państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą (w zakresie, w jakim te dane są objęte reżimem tajemnicy bankowej, wydaje się, że wymóg zapewnienia odpowiednich zabezpieczeń jest w przepisach prawa realizowany).

Dodatkowo w zakresie, w jakim przetwarzanie danych osobowych przez instytucje wymienione w art. 106d ust. 1 pr. bank. jest niezbędne do prawidłowej realizacji zadań dotyczących zapobiegania przestępstwom, wyłączone zostało prawo dostępu do informacji o przetwarzaniu danych osobowych, o którym mowa w art. 15 RODO. Możliwość takiego wyłączenia opiera się na art. 23 ust. 1 RODO, który pozwala na ograniczenie zakresu praw i obowiązków określonych w art. 12–22 RODO, jeżeli takie ograniczenie nie narusza istoty podstawowych praw i wolności oraz jest środkiem niezbędnym, proporcjonalnym i służącym zapobieganiu przestępczości oraz wykrywaniu i ściganiu czynów zabronionych.

Przetwarzanie danych osobowych osób pełniących kluczowe funkcje w banku

W wyniku wejścia w życie Ustawy Sektorowej banki zobowiązane są do identyfikowania – obok członków zarządu i rady nadzorczej – innych kluczowych funkcji w ramach organizacji. W świetle art. 22aa ust. 10 pr. bank. przez kluczowe funkcje należy rozumieć te, z którymi związany jest zakres obowiązków, uprawnień i odpowiedzialności umożliwiający wywieranie znaczącego wpływu na kierowanie bankiem. Obowiązkiem banku jest zapewnienie, że osoby pełniące kluczowe funkcje posiadają wiedzę, umiejętności i doświadczenie odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków oraz dają rękojmię należytego wykonywania tych obowiązków. W Ustawie Sektorowej doprecyzowano, że wspomniana rękojmia odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny. Dodatkowo Ustawa Sektorowa wprowadza w przepisach art. 22aa ust. 11 pr. bank. katalog dokumentów, oświadczeń i informacji, jakich żąda się od osoby ubiegającej się o pełnienie kluczowej funkcji w banku (w tym członka zarządu i rady nadzorczej) w celu weryfikacji, czy taka osoba spełnia kryteria w zakresie rękojmi. Katalog wymaganych informacji jest stosunkowo szeroki i obejmuje m.in. informacje dotyczące sankcji administracyjnych nałożonych na kandydata, sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata, postępowań sądowych, które mogą mieć negatywny wpływ na reputację kandydata, oraz sposobu działania w życiu, środowisku i kontaktach zawodowych. Szczególnie ostatnia z wymienionych kategorii informacji może budzić pewne zastrzeżenia z uwagi na mało precyzyjne sformułowanie. Bank żąda powyższych dokumentów, oświadczeń i informacji niezależnie od tego, czy osoba, która ma pełnić kluczową funkcję w banku będzie jednocześnie zatrudniona na podstawie umowy o pracę (w takim przypadku w odniesieniu do danych zbieranych od kandydata niezależnie stosuje się przepisy Kodeksu pracy, w szczególności art. 22¹ Kodeksu pracy), czy też będzie sprawować funkcję na podstawie innego stosunku prawnego. Dane osobowe zawarte w powyższym katalogu mogą być przechowywane nie dłużej niż 25 lat.

Podsumowując, wprowadzone Ustawą Sektorową zmiany w Prawie bankowym należy ocenić zasadniczo pozytywnie. Na aprobatę zasługuje otwarcie katalogu danych osobowych, na podstawie których banki oraz inne instytucje udzielające finansowania będą mogły podejmować zautomatyzowane decyzje dotyczące oceny zdolności kredytowej i analizy ryzyka kredytowego. Należy mieć przy tym nadzieję, że przewidziane w ustawie środki ochrony osób, których dane dotyczą, takie jak prawo do otrzymania informacji o podstawach podjętej decyzji oraz uzyskania interwencji ludzkiej w celu ponownego rozpatrzenia wniosku, będą stanowić realne zabezpieczenie przed nieprawidłowymi decyzjami lub przynajmniej umożliwią ich ewentualną korektę. Podobnie słuszne wydaje się wprowadzenie dodatkowych wymogów związanych z badaniem rękojmi osób, które mają istotny wpływ na funkcjonowanie branży finansowej w kraju, czyli osób pełniących w bankach – jako instytucjach zaufania publicznego – kluczowe funkcje. To rozwiązanie powinno przyczynić się do wzmocnienia bezpieczeństwa sektora bankowego poprzez dopuszczenie do pełnienia tych funkcji tylko osób, które posiadają odpowiednią wiedzę i doświadczenie, zaś ich dotychczasowa postawa w życiu zawodowym dowodzi, iż spełniają wysokie standardy uczciwości, rzetelności i zdolności do prowadzenia spraw banku odpowiedzialnie i bezpiecznie.

Od ponad pół roku obowiązują w Polsce nowe przepisy AML. Wśród nich znajduje się regulacja, która uczyniła podmioty świadczące usługi w obszarze kryptowalut pełnoprawnymi członkami systemu walki z praniem pieniędzy i finansowaniem terroryzmu. Elementem tego systemu stała się też technologia blockchain. Technologia anonimowego kryptoświata ma więc teraz stać się częścią rozwiązań, których priorytetem jest identyfikacja tożsamości. Przygląda się jej bacznie nie tylko obszar FinTech, ale również najwięksi gracze rynku finansowego, w tym banki.

****

Kryptowaluty a nowe regulacje AML

Nowe przepisy AML (kryjące się pod nazwą ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu^[1]; dalej: „Ustawa AML”) weszły w życie 13 lipca 2018 r. Od tego czasu instytucjami obowiązanymi w Polsce (podmiotami podlegającymi Ustawie AML) są firmy świadczące usługi w zakresie wymiany kryptowalut (zarówno na tradycyjne środki pieniężne, jak i na inne kryptowaluty), pośrednicy w takiej wymianie, a także firmy prowadzące rachunki (portfele) kryptowalut dla ich posiadaczy. Warto wskazać, że katalog ten jest szerszy niż przewiduje najnowsza unijna dyrektywa dotycząca przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Dyrektywa 2018/843^[2] (dalej: „Dyrektywa AML5”) nie obejmuje bowiem problematyki wymiany kryptowalut na inne kryptowaluty ani pośrednictwa w wymianie kryptowalut.

Nie jest to jedyna różnica między polskimi a unijnymi przepisami AML w zakresie kryptowalut. Różnice te dotyczą też samego pojęcia kryptowaluty (formalnie „waluty wirtualnej”). W szczególności motyw 10 Dyrektywy AML5 jednoznacznie przesądza, że walutami wirtualnymi nie są waluty używane w grach komputerowych, które można wykorzystać wyłącznie w konkretnym środowisku gry. Polska definicja nie jest w tym zakresie tak jednoznaczna, co z perspektywy rynku rodzi szereg wątpliwości.

Warto podkreślić, że tego rodzaju różnice nie są wynikiem błędów w procesie implementacji Dyrektywy AML5. Uregulowanie kryptowalut w Ustawie AML było bowiem samodzielną inicjatywą polskiego ustawodawcy, wcześniejszą niż ta dyrektywa. Dzięki temu Polska, z jednej strony, znalazła się w europejskiej awangardzie w obszarze „cywilizowania” walut wirtualnych. Z drugiej strony oznacza to, że przepisy w tym zakresie na pewno będą musiały zostać zmienione. Termin implementacji Dyrektywy AML5 do polskiego porządku prawnego upływa przy tym dopiero 10 stycznia 2020 r.

Technologia blockchain w kryptowalutach

Przeważająca część kryptowalut, w tym najpopularniejszy Bitcoin, oparta jest na technologii blockchain (tj. łańcuchu bloków). W najbardziej podstawowym zarysie technologia ta stanowi system transakcyjny oraz jednocześnie księgę rozrachunkową, która przy pomocy algorytmów kryptograficznych rejestruje transakcje dokonywane w danej kryptowalucie^[3]. Bloki stanowią kolejne rozdziały tej księgi rozrachunkowej. Pierwszy zapis w bloku zawiera informację o początkowym posiadaczu danej jednostki kryptowaluty (np. jego adresie publicznym). Kolejne zapisy w blokach określają zaś transakcje realizowane z wykorzystaniem tej jednostki. Ponieważ bloki mają ograniczoną pojemność zapisu (np. 1 MB dla Bitcoin), co określony czas w systemie powstają kolejne bloki (np. dla Bitcoin średnio co 10 minut). Każdy blok zawiera znacznik czasu oraz unikatowy hash (identyfikator) poprzedniego bloku.

Genialność technologii blockchain tkwi w sposobie powstawania zapisów w blokach. Blockchain ma bowiem charakter zdecentralizowanej i rozproszonej bazy danych, która opiera się o architekturę peer-to-peer (P2P). Przejawia się to między innymi w tym, że dodanie każdego zapisu do bloku wymaga potwierdzenia jego prawidłowości w drodze konsensusu uczestników systemu (ang. nodes) z których każdy przechowuje pełną kopię danych blockchain. W przeciwieństwie do tradycyjnych systemów instytucji finansowych czy banków centralnych odpowiednio rozbudowany blockchain jest więc odporny na włamania do pojedynczych baz danych. Ewentualne próby fałszerstw są bowiem wykrywane przez innych uczestników systemu przed dodaniem zapisu do łańcucha bloków i odrzucane jako błędne. Do sfałszowania zapisu może dojść właściwie tylko w sytuacji, gdy ktoś jest w stanie podmienić ponad 50% kopii baz danych blockchain^[4]. Przy odpowiednio rozproszonym blockchain nie jest to w rzeczywistości możliwe na obecnym poziomie technologicznym. Potwierdzają to coraz głośniej zarówno eksperci z zakresu cyberbezpieczeństwa i kryptografii, jak i praktyka, zwłaszcza fakt bezbłędnego działania Bitcoin od chwili jego powstania.

Blockchain elementem innowacyjnych rozwiązań AML?

Technologia blockchain została stworzona z myślą o zagwarantowaniu pewności wystąpienia określonych zdarzeń (transakcji) w rozproszonym, i tym samym anonimowym, środowisku. Położenie nacisku na prawidłowość w relacji transakcja – transakcja (a nie osoba – osoba) było jednym z powodów początkowej niechęci rynku regulowanego do kryptowalut i stojącej za nimi technologii. Tradycyjne rozwiązania AML nakierowane są bowiem przede wszystkim na identyfikację osób zaangażowanych w proceder prania pieniędzy. Sam ten proceder opiera się jednak w dużej mierze na transakcjach nielegalnymi środkami. W pierwszej jego kolejności następuje bowiem wprowadzenie takich środków do systemu finansowego (tzw. umiejscowienie lub lokowanie – ang. placement), a następnie ukrycie ich nielegalnego pochodzenia poprzez realizację wielu kolejnych transakcji w ramach systemu (tzw. maskowanie – ang. layering)^[5]. W celu walki z tego rodzaju działaniami instytucje obowiązane są zobligowane między innymi do analizy transakcji przeprowadzanych przez swoich klientów (art. 34 ust. 1 pkt 4 Ustawy AML). Wykorzystanie w tych procesach technologii blockchain może istotnie wpłynąć na skuteczność takich analiz. Jej odporność na próby fałszowania zapisów (transakcji) systemu, a także wysoka skuteczność śledzenia transakcji wstecz aż do ich wprowadzenia do systemu daje bowiem szansę na stworzenie nowych, skuteczniejszych narzędzi AML w tym zakresie^[6].

Nie jest to jedyny pomysł na wykorzystanie technologii blockchain w procesach AML. Na rynku pojawiają się też inne, w tym dotyczące wzmocnienia dzięki niej samego procesu identyfikacji i weryfikacji klientów instytucji obowiązanych (art. 34 ust. 1 pkt 1 i 2 Ustawy AML, ang. Know Your Customer (KYC)). Wskazuje się między innymi, że oferowana przez blockchain rozproszona weryfikacja w czasie zbliżonym do rzeczywistego może znacznie przyspieszyć wymianę informacji (czy to w ramach jednej organizacji, czy całego systemu instytucji obowiązanych) na potrzeby procesów KYC^[7]. Z jednej strony pozwoliłoby to ograniczyć błędy wynikające z opóźnień w przesyłaniu informacji, jak i bazujące na tych opóźnieniach oszustwa. Z drugiej strony umożliwiłoby instytucjom obowiązanym przyspieszenie procesu zawierania umów z klientami, szczególnie w środowisku elektronicznym.

Na koniec warto też zauważyć, że objęcie procedurami AML, zwłaszcza procesami KYC, podmiotów działających w obszarze kryptowalut może mieć – niezależnie od powyższego – pozytywny wpływ na same te podmioty, a w szczególności na bezpieczeństwo świadczonych przez nie usług. Jak wskazano powyżej, procesy te w dużej mierze koncentrują się na identyfikacji i weryfikacji tożsamości klientów. Dotykają one więc najsłabszego z perspektywy AML ogniwa bezpieczeństwa kryptowalut, którym jest anonimowość ich posiadaczy.

W tym kontekście objęcie kryptowalut przepisami AML może okazać się rozwiązaniem typu win-win dla rozwoju zarówno systemu walki z praniem pieniędzy, jak i technologii stojącej za kryptowalutami.

^[1] Dz. U. z 2018 r., poz. 723 ze zm.

^[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/843 z dnia 30 maja 2018 r. zmieniająca dyrektywę (UE) 2015/849 w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu oraz zmieniająca dyrektywy 2009/138/WE i 2013/36/UE.

^[3] K. Piech (red.), Podstawy korzystania z walut cyfrowych, Instytut Wiedzy i Innowacji, 2017, s. 15.

[4] Ibidem, s. 20.

^[5] JX Low, Terrorist Financing Explored, 25 kwietnia 2018 r., https://aml-cft.net/terrorist-financing-explored/ [dostęp: 1 lutego 2019 r.].

^[6] B. Patel, How Can Blockchain Help with AML KYC, 12 lutego 2018 r., https://www.finextra.com/blogposting/15022/how-can-blockchain-help-with-aml-kyc (dostęp: 1 lutego 2019 r.).

^[7] P. Ovhal, How Blockchain Is Solving the KYC/AML Problems, 15 października 2018 r., https://medium.com/@ovhalprajakta5305/how-blockchain-is-solving-the-kyc-aml-problems-1e0165035292 (dostęp: 26 października 2018 r.).

W dniu 20 grudnia 2018 r. upływa termin na dostosowanie działalności do zmian w przepisach regulujących świadczenie usług płatniczych, które dotyczą m.in. podmiotów wydających różnego rodzaju karty podarunkowe, lojalnościowe, sklepowe itp. Nadszedł więc ostatni moment, aby dokonać oceny, czy na gruncie nowych przepisów możliwe jest dalsze korzystanie przez tego rodzaju podmioty z wyłączenia obowiązku uzyskania odpowiedniej licencji dostawcy usług płatniczych.

****

Zmiany w regulacji tzw. wyłączenia z tytułu ograniczonej sieci

Świadczenie usług płatniczych, w tym wydawanie instrumentów płatniczych, jest działalnością regulowaną ustawą o usługach płatniczych^[1] (dalej jako „u.u.p.”). Prowadzenie tego rodzaju działalności wymaga – co do zasady – posiadania statusu dostawcy usług płatniczych (zgodnie z u.u.p. status taki posiadają m.in. banki, instytucje płatnicze, instytucje pieniądza elektronicznego, biura usług płatniczych). Ustawa przewiduje przy tym szereg wyłączeń, tj. przypadków, w których wynikające z niej wymogi nie mają zastosowania. Jednym z nich jest tzw. wyłączenie z tytułu ograniczonej sieci, o którym mowa w art. 6 pkt 11 u.u.p., zmienionym w związku z implementacją dyrektywy 2015/2366^[2] (dalej jako „PSD2”) do polskiego porządku prawnego.

Wyłączenie z tytułu ograniczonej sieci dotyczy usług opartych na instrumentach płatniczych, które można wykorzystywać jedynie w ograniczony sposób i które spełniają co najmniej jeden z poniższych warunków:

1. pozwalają ich posiadaczowi nabywać towary lub usługi wyłącznie w placówkach wydawców tych instrumentów lub w ramach ograniczonej sieci podmiotów, które są związane umową handlową bezpośrednio z zawodowym wydawcą tych instrumentów;
2. służą wyłącznie do nabywania bardzo ograniczonego zakresu towarów lub usług;
3. mogą być używane wyłącznie w jednym państwie członkowskim Unii Europejskiej, jeżeli instrumenty takie są dostarczane na wniosek przedsiębiorcy lub podmiotu sektora publicznego, są regulowane ze względu na określone cele społeczne lub podatkowe przez krajowy lub samorządowy organ administracji publicznej i służą do nabycia określonych towarów lub usług od dostawców związanych z wydawcą umową handlową.

Przyjmuje się, że instrumentami płatniczymi, które mogą być objęte przedmiotowym wyłączeniem, są w szczególności karty sklepowe (karty podarunkowe), karty lojalnościowe, karty paliwowe czy karty transportu publicznego, o ile spełniają warunki określone w ww. przepisie. W wyniku implementacji PSD2 do polskiego porządku prawnego warunki te uległy pewnemu zaostrzeniu. Zmieniony art. 6 pkt 11 u.u.p. kładzie większy nacisk na aspekt ograniczonego zastosowania instrumentu płatniczego. Taką interpretację potwierdza m.in. treść motywu 14 PSD2, który stanowi, że: „w przypadku gdy […] instrument o celu szczególnym przeradza się w instrument o celu ogólnym, wyłączenie z zakresu niniejszej dyrektywy nie powinno mieć dłużej zastosowania”. Zgodnie z dalszą treścią tego motywu wyłączeniu stosowania przepisów regulujących świadczenie usług płatniczych nie powinny podlegać instrumenty, które można wykorzystywać do zakupów w sklepach określonej grupy akceptantów (podmiotów przyjmujących zapłatę z wykorzystaniem instrumentów płatniczych), ponieważ takie instrumenty są zazwyczaj zaprojektowane z myślą o ciągle powiększających się sieciach dostawców usług.

Mając na względzie powyższe zmiany, każdy przedsiębiorca, który dotychczas wydawał karty z funkcją płatniczą na podstawie wyłączenia z tytułu ograniczonej sieci, powinien dokonać ponownej oceny, czy świadczona przez niego usługa nadal spełnia warunki przedmiotowego wyłączenia. Punktem wyjścia takiej analizy powinno być ustalenie, czy dana karta stanowi instrument płatniczy w rozumieniu u.u.p. (instrumentem płatniczym jest zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego). W przypadku potwierdzenia takiej kwalifikacji należy ustalić, czy działalność oparta na takim instrumencie spełnia przesłanki wyłączenia, o którym mowa w art. 6 pkt 11 u.u.p.

Obowiązek informacyjny wydawcy karty w ramach ograniczonej sieci wobec KNF

Przepisy implementujące dyrektywę PSD2 do polskiego porządku prawnego wprowadzają swego rodzaju mechanizm kontrolny w celu przeciwdziałania nadużywaniu omawianej formy prowadzenia działalności. Zgodnie z art. 6c ust. 1 u.u.p. podmiot prowadzący działalność w oparciu o wyłączenie z tytułu ograniczonej sieci po przekroczeniu limitu 1 mln euro dla wartości transakcji płatniczych dokonanych w ciągu ostatnich 12 miesięcy ma obowiązek powiadomić Komisję Nadzoru Finansowego (KNF) o tym fakcie. Powiadomienie powinno zawierać opis oferowanych przez podmiot usług ze wskazaniem, na podstawie którego wariantu wyłączenia (art. 6 pkt 11 lit. a lub b u.u.p.) wykonuje on dany rodzaj działalności.

Otrzymawszy takie powiadomienie, KNF ocenia, czy działalność podmiotu spełnia warunki, o których mowa w art. 6 pkt 11 lit. a lub b u.u.p. W zależności od wyniku oceny KNF:

1. dokonuje, w terminie 30 dni od złożenia powiadomienia, wpisu podmiotu do rejestru podmiotów wykonujących działalność w oparciu o wyłączenie z tytułu ograniczonej sieci
   albo
2. wydaje decyzję o odmowie wpisu podmiotu do ww. rejestru. W takim przypadku podmiot składający powiadomienie jest obowiązany albo dostosować rozmiar prowadzonej działalności w zakresie usług płatniczych do wymogu, o którym mowa w art. 6c ust. 1 u.u.p., albo złożyć wniosek o wydanie zezwolenia na świadczenie usług w charakterze krajowej instytucji płatniczej (dalej jako „KIP”) lub wniosek o wpis do rejestru małych instytucji płatniczych (dalej jako „MIP”). Dostosowanie działalności do wymogów wyłączenia lub złożenie wniosku w sprawie uzyskania licencji KIP lub MIP powinno nastąpić w terminie trzech miesięcy od doręczenia decyzji KNF o odmowie wpisu do ww. rejestru.

Co szczególnie istotne, w przypadku gdy KNF zakwestionuje możliwość prowadzenia działalności w oparciu o wyłączenie z tytułu ograniczonej sieci, podmiot, który złoży wniosek w sprawie uzyskania licencji KIP lub MIP, może kontynuować działalność na terytorium Rzeczypospolitej Polskiej bez wymogu uzyskania zezwolenia na świadczenie usług płatniczych w charakterze KIP albo wpisu do rejestru MIP. Z kolei naruszenie omawianego obowiązku informacyjnego wobec KNF wiąże się z ryzykiem nałożenia grzywny w wysokości do 500 tys. zł.

Jeśli nie „ograniczona sieć”, to co?

W sytuacji gdy działalność polegająca na wydawaniu kart z funkcją płatniczą nie spełnia warunków stosowania wyłączenia z tytułu ograniczonej sieci, należy dokonać wyboru pomiędzy odpowiednią korektą prowadzonej działalności (tak aby spełniała warunki wyłączenia) albo uzyskaniem statusu licencjonowanego dostawcy usług płatniczych. Wspomniana korekta działalności może polegać, przykładowo, na ograniczeniu zakresu towarów lub usług, które można nabyć z wykorzystaniem karty. Natomiast w przypadku wyboru drugiego rozwiązania, należy określić jaka forma świadczenia usług w charakterze dostawcy usług płatniczych będzie optymalna z punktu widzenia specyfiki świadczonych usług, ich skali oraz perspektyw rozwoju.

^[1] Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (tekst jedn.: Dz. U. z 2017 r., poz. 2003 ze zm.).

^[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz. Urz. UE L 337 z 23.12.2015)

Trwają prace nad projektem ustawy zmieniającej ustawę o usługach płatniczych, której zasadniczym celem jest implementacja do polskiego porządku prawnego dyrektywy PSD2. Dla rynku usług płatniczych jest to regulacja kluczowa, określi ona bowiem jego kształt i zasady funkcjonowania na najbliższe lata. O powszechnym zainteresowaniu projektem może świadczyć liczba uwag i propozycji zmian wniesionych w ramach jego pierwszych konsultacji publicznych.

****

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 (dalej jako „dyrektywa PSD2”)^[1], której termin implementacji w państwach członkowskich mija 13 stycznia 2018 r., jest kolejnym krokiem w kierunku unifikacji reguł w zakresie świadczenia usług płatniczych na terenie UE. Uznaje się, że rozwój zintegrowanego rynku usług płatniczych, zwłaszcza płatności elektronicznych, ma zasadnicze znaczenie dla wzrostu unijnej gospodarki oraz zapewnienia użytkownikom tych usług wysokiego poziomu bezpieczeństwa przeprowadzanych transakcji przy jednoczesnym wspieraniu rozwoju innowacyjnych technologii w dziedzinie płatności.

Dnia 21 czerwca 2017 r. na stronach Rządowego Centrum Legislacji opublikowano raport^[2] z konsultacji projektu ustawy zmieniającej ustawę o usługach płatniczych (dalej jako „Projekt”), która stanowić będzie akt prawny implementujący do polskiego porządku prawnego dyrektywę PSD2. Poszczególni interesariusze zostali zobowiązani przez Ministerstwo Finansów do zaproponowania konkretnych zmian do 5 lipca 2017 r. Obecnie trwa oczekiwanie na przedstawienie zweryfikowanej wersji Projektu.

Najważniejsze zmiany, jakie niesie ze sobą Projekt, polegają na:

1. wprowadzeniu nowych kategorii usług płatniczych: usługi inicjowania transakcji płatniczej (ang. payment initiation service – dalej jako „PIS”) oraz usługi dostępu do informacji o rachunku (ang. account information service – dalej jako „AIS”); obie usługi funkcjonują w praktyce rynkowej, jednak zasady i sposób ich świadczenia nie były dotychczas regulowane; w uproszczeniu: usługi te umożliwiają użytkownikowi zlecenie wykonania transakcji lub uzyskanie dostępu do informacji dotyczących jego rachunku płatniczego bez konieczności bezpośredniego kontaktu z dostawcą prowadzącym rachunek (np. bankiem) – komunikacja odbywa się pomiędzy dostawcą prowadzącym rachunek a dostawcą usługi PIS/AIS;

2. wprowadzeniu obowiązku stosowania silnego uwierzytelniania użytkownika przez dostawcę usług płatniczych w momencie uzyskiwania zdalnego dostępu do rachunku płatniczego, inicjowania transakcji płatniczej lub dokonywania innych czynności, które mogą się wiązać z ryzykiem oszustwa lub nadużycia; szczegółowe wymogi w obszarze stosowania silnego uwierzytelnienia oraz przypadki, gdy można od niego odstąpić, zostaną określone w regulacyjnych standardach technicznych (ang. regulatory technical standards – dalej jako „RTS”), opracowywanych przez Europejski Urząd Nadzoru Bankowego, a zatwierdzanych przez Komisję Europejską;

3. modyfikacji zakresu wyłączeń z obowiązku stosowania przepisów ustawy o usługach płatniczych (dalej jako „u.u.p.”)^[3], w tym z obowiązku posiadania odpowiedniego zezwolenia, dla określonych rodzajów działalności, w ramach których występuje element pośrednictwa w realizacji płatności; zmiany dotyczą przede wszystkim możliwości skorzystania z wyłączeń dla tzw. agentów handlowych (dotychczasowy art. 6 pkt 1 u.u.p.), ograniczonej sieci akceptacji (dotychczasowy art. 6 pkt 11 u.u.p.) oraz wyłączenia dla przedsiębiorców telekomunikacyjnych (dotychczasowy art. 6 pkt 12 u.u.p.);

4. modyfikacji zasad odpowiedzialności za transakcje nieautoryzowane polegającej na dalszym wzmocnieniu pozycji konsumenta względem dostawcy usług płatniczych, w szczególności gdy ten ostatni nie zastosował silnego uwierzytelnienia, oraz na obniżeniu progu odpowiedzialności płatnika za straty spowodowane nieautoryzowanymi transakcjami ze 150 do 50 euro;

5. wprowadzeniu małej instytucji płatniczej jako nowej kategorii dostawcy usług płatniczych; ta forma prowadzenia działalności ma stanowić odpowiedź na potrzebę stworzenia przyjaznego środowiska regulacyjnego dla podmiotów chcących rozpocząć działalność w obszarze usług płatniczych; bezpieczeństwo funkcjonowania całego systemu płatniczego zapewniać ma narzucenie na tego rodzaju działalność określonych ograniczeń: limitu 1,5 mln euro dla średniej wartości transakcji płatniczych wykonywanych miesięcznie w odniesieniu do poprzednich 12 miesięcy oraz limitu kwoty środków przechowywanych na rachunku płatniczym dla jednego użytkownika w wysokości 2 tys. euro;

6. nałożeniu na dostawców usług płatniczych nowych obowiązków informacyjnych wobec użytkowników oraz obowiązków raportowych wobec organów nadzorujących (KNF, NBP).

Przewidziane w Projekcie zmiany będą miały wpływ na bardzo szeroki katalog podmiotów, poczynając od banków, przez instytucje płatnicze, biura usług płatniczych, operatorów bankomatów, a kończąc na podmiotach, których działalność podlegała dotychczas wyłączeniu z reżimu ustawowego, oraz przedsiębiorcach, którzy dopiero planują rozpoczęcie działalności polegającej na świadczeniu jednej z usług płatniczych i szukają odpowiedniej formy jej prowadzenia. Niewątpliwie każda z wymienionych grup ma nieco inne interesy oraz obszary, na których korzystnym uregulowaniu szczególnie jej zależy, co potwierdza analiza zaproponowanych zmian. Poniżej wskazujemy na wybrane postulaty przedstawione przez uczestników rynku.

Uwagi Związku Banków Polskich dotyczą m.in. potrzeby doprecyzowania przypadków, w których wymagane jest przeprowadzenie silnego uwierzytelnienia użytkownika, tak aby było ono nieodzowne w sytuacji uzyskiwania dostępu do rachunku online, a nie – jak w pierwotnej treści Projektu – „w sposób zdalny”, co mogłoby rozszerzać obowiązek stosowania silnego uwierzytelniania np. na przypadek uzyskiwania dostępu do rachunku za pośrednictwem call center. Banki podkreślają także brak przepisów dokładnie określających, w jaki sposób bank prowadzący rachunek klienta może zweryfikować, czy klient udzielił zgody na wykonanie transakcji płatniczej (PIS) lub uzyskanie dostępu do rachunku przez dostawcę usługi AIS. ZBP wskazuje wreszcie na nieprawidłową i niekorzystną dla dostawcy usług płatniczych implementację przepisów dyrektywy PSD2 dotyczących rozkładu ciężaru dowodu w przypadku zaistnienia transakcji nieautoryzowanych.

Fundacja Rozwoju Obrotu Bezgotówkowego zwraca uwagę m.in. na konieczność doprecyzowania, na kim spoczywa obowiązek informacyjny dotyczący opłaty za wypłatę gotówki w bankomacie, ponieważ treść Projektu sugeruje, że powinien on dotyczyć wydawcy instrumentu płatniczego, podczas gdy dyrektywa PSD2 wyraźnie wskazuje, iż powinien on być nałożony na niezależnych operatorów bankomatów. Krytyce poddano zapis regulujący zasady odpowiedzialności agentów oraz insourcerów wobec instytucji płatniczych jako nieznajdujący odpowiednika w treści dyrektywy PSD2, a jednocześnie mogący ograniczać zainteresowanie podwykonawstwem przy świadczeniu usług płatniczych i niekorzystnie wpływać na funkcjonowanie rynku płatniczego. Za nieuzasadnione uznano również wprowadzenie limitu środków przechowywanych przez małą instytucję płatniczą na rachunku (2 tys. euro), który w praktyce może uniemożliwić tym podmiotom świadczenie usługi acquiringu. Ograniczenie to FROB uznaje za nadmiarowe, zwłaszcza w kontekście drugiego limitu, dotyczącego maksymalnej średniej wartości transakcji, oraz sprzeczne z postulatem łatwości prowadzenia działalności przez małe instytucje płatnicze.

Polska Organizacja Niebankowych Instytucji Płatności proponuje m.in. redukcję obciążeń (w obszarze utrzymania funduszy własnych) nakładanych na instytucje płatnicze oraz instytucje pieniądza elektronicznego udzielające kredytów płatniczych, która pozwoliłaby tym podmiotom na konkurowanie z instytucjami pożyczkowymi, na których nie ciążą żadne podobne zobowiązania. PONIP postuluje również uzupełnienie definicji rachunku płatniczego poprzez wprowadzenie wyłączenia z jej zakresu rachunków prowadzonych wyłącznie w celu obsługi udostępniania odbiorcy środków z transakcji płatniczej, inicjowanej przez lub za pośrednictwem tego odbiorcy, które to wyłączenie ma w istocie rzeczy dotyczyć rachunków prowadzonych dla akceptantów przez agentów rozliczeniowych świadczących na ich rzecz usługę acquiringu.

Z kolei European Fintech Forum zwraca szczególną uwagę na niejednoznaczność i ogólnikowość przepisów umożliwiających podmiotowi prowadzącemu rachunek traktowanie (na zasadzie wyjątku) w sposób dyskryminujący zleceń składanych za pośrednictwem dostawcy usługi PIS czy też zapisów umożliwiających odmowę dostępu do informacji o rachunku dla dostawcy usługi AIS. EFF podnosi, że brak precyzyjnych zapisów w tym obszarze może prowadzić do nadużyć ze strony podmiotów prowadzących rachunki oraz do zaburzenia konkurencyjności między tymi podmiotami a dostawcami usług PIS/AIS.

W uwagach zgłaszanych przez różnych uczestników rynku pojawiały się postulaty wprowadzenia okresu przejściowego w związku z zakresem i złożonością zmian, jakie przewiduje Projekt. Podkreślano w nich również konieczność doprecyzowania zasad stosowania obowiązku silnego uwierzytelniania użytkownika i komunikacji pomiędzy dostawcami usług płatniczych prowadzącymi rachunek a dostawcami usług PIS/AIS w okresie między wejściem w życie Projektu a wejściem w życie odpowiednich RTS, które będą szczegółowo regulować te zagadnienia.

Powyżej omówiono jedynie niektóre propozycje zmian i problemy zasygnalizowane przez wybranych uczestników konsultacji. Swoje wnioski zgłosiły również inne organizacje branżowe (PIIT, ZFP, ZPiP, Konfederacja Lewiatan), organy nadzorujące działalność dostawców usług płatniczych (KNF, NBP) oraz inne zainteresowane podmioty. Aktualnie Projekt wrócił do dalszych prac w Ministerstwie Finansów. Ze względu na zbliżający się termin wdrożenia dyrektywy PSD2 byłoby wskazane, aby Ministerstwo udostępniło kolejną wersję dokumentu jeszcze w sierpniu 2017 r.

^[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz. Urz. UE L 337 z 23.12.2015, s. 35).

^[2] https://legislacja.rcl.gov.pl/docs//2/12298151/12432062/12432065/dokument294747.pdf.

^[3] Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (tekst jedn.: Dz. U. z 2016 r. poz. 1572 ze zm.).

Pod koniec marca 2017 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów (dalej: „Prezes UOKiK”) wydał stanowisko zawierające istotny pogląd w sprawie umowy pożyczki zawieranej na odległość pomiędzy instytucją finansową a konsumentem. Stanowisko Prezesa UOKiK odwołuje się do problematyki wykładni definicji „trwałego nośnika” występującej na gruncie wielu aktów prawnych. Przedstawiony pogląd ma charakter o tyle kluczowy, iż prowadzi do rygorystycznej interpretacji pojęcia „trwałego nośnika”, która istotnie wpłynie na funkcjonowanie wielu instytucji finansowych.

****

Tło faktyczne

Istotny pogląd w sprawie sporu konsumenta z Creamfinance Poland (pożyczkodawcą) wydany został przez Prezesa UOKiK w ramach toczącego się postępowania o sygn. III Ca 529/16, prowadzonego przez Sąd Okręgowy w Nowym Sączu. W przedmiotowej sprawie pożyczkodawca wystąpił do sądu z żądaniem zasądzenia od konsumenta na jego rzecz kwoty odpowiadającej pozostałej do spłaty pożyczki wraz z odsetkami ustawowymi. Na skutek zgłoszonego roszczenia konsument wystąpił do sądu z powództwem wzajemnym, w którym wystąpił o zasądzenie o Creamfinance Poland stosownej kwoty z tytułu skorzystania z sankcji kredytu konsumenckiego w związku z niedochowaniem przez pożyczkodawcę wymogów wynikających z ustawy o kredycie konsumenckim.

W ramach toczącego się postepowania konsument skierował do Prezesa UOKiK wniosek o przestawienie istotnego poglądu w sprawie w zakresie interpretacji pojęcia „trwałego nośnika”. Według twierdzeń konsumenta znajdujące się na stronie internetowej oraz indywidualnym koncie użytkownika informacje związane z zawartą umową pożyczki nie zostały mu przekazane na trwałym nośniku, co spowodowało naruszenie obowiązków po stronie pożyczkodawcy.

Charakterystyka „trwałego nośnika”

Definicja „trwałego nośnika” przewidziana została w wielu aktach prawnych dotyczących regulacji praw i obowiązków w przypadku zawierania umów z udziałem konsumentów. Odpowiednimi przykładami w tym zakresie są: ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, ustawa z dnia 30 maja 2014 r. o prawach konsumenta oraz ustawa z dnia 12 maja 2011 r. o kredycie konsumenckim, która stanowiła podstawę rozbieżności interpretacyjnych, nad którą pochylił się Prezes UOKiK w ramach wydawanego przez siebie poglądu w sprawie.

Opierając się na brzmieniu zawartym w ostatnim z przytaczanych powyżej aktów prawnych poprzez pojęcie „trwałego nośnika” należy rozumieć: „materiał lub urządzenie służące do przechowywania i odczytywania informacji przekazywanych konsumentowi w związku z umową o kredyt, przez czas odpowiedni do celów jakim informacje te służą oraz pozwalające na odtworzenie tych informacji w niezmienionej postaci” (art. 5 pkt 17 u.k.k.). Podążając zatem za brzmieniem przepisu należy wskazać, że kluczowym w tym zakresie jest zapewnienie, by trwały nośnik umożliwiał przechowywanie dostarczonych informacji przez właściwy czas oraz by zapewniał on możliwość odtworzenia stosownych informacji w ich niezmienionej, pierwotnej postaci. Taka interpretacja zapewniać ma właściwą ochronę konsumentów w ramach zawierania przez nich umów z podmiotami profesjonalnymi, przy równoczesnym wskazaniu charakteru obowiązków informacyjnych, jakie mają zostać spełnione po stronie przedsiębiorcy, który zobligowany jest do dostarczenia konsumentowi stosownych informacji.

Stanowisko Prezesa UOKiK

Wyrażony przez Prezesa UOKiK istotny pogląd w sprawie doprowadził do przesądzenia, że strona internetowa przedsiębiorcy nie stanowi trwałego nośnika w rozumieniu ustawy o kredycie konsumenckim.

Podobne stanowisko przedstawione zostało także w kontekście indywidualnego konta użytkownika/ klienta prowadzonego w ramach serwisu internetowego przedsiębiorcy – stwierdzono, że nie spełnia ono wystarczających wymogów pozwalających na uznanie go za trwały nośnik w rozumieniu ww. ustawy.

Interpretacja Prezesa UOKiK zanegowała w pełni opinię wyrażoną przez Sąd I instancji (Sąd Rejonowy w Gorlicach; sygn. akt I C 675/15 upr), zgodnie z którą umieszczenie treści umowy i załączników na stronie internetowej jest równoznaczne z dostarczeniem jej na trwałym nośniku, gdyż konsument ma możliwość dokonania wydruku niezbędnych dokumentów. Prezes UOKiK – jak się zresztą wydaje słusznie – zauważył, że fakt możliwości samodzielnego wydrukowania dokumentów udostępnianych na stronie internetowej przedsiębiorcy nie ma żadnego znaczenia dla interpretacji pojęcia „trwałego nośnika”.

W kontekście analizy pojęciowej „trwałego nośnika” należy zauważyć, że sama ustawa mówi bowiem o dostarczeniu stosownych informacji. Takie sformułowanie wydaje się ukierunkowywać wykładnię przepisu ku poszukiwaniu aktywności po stronie podmiotu, który jest zobowiązany do przekazania informacji. Gdyby zatem podzielić pogląd Sądu I instancji, faktyczna aktywność wymaganych działań podejmowana byłaby przez konsumenta, a nie przedsiębiorcę, na którym ciąży obowiązek dostarczenia informacji.

Ponadto w kontekście omawianej sprawy kluczowe znaczenie ma, z jednej strony, kwestia czasowej dostępności dostarczanych informacji, a z drugiej strony, brak możliwości dokonywania w nich zmian.

Należy podkreślić, iż dostarczane przez przedsiębiorcę informacje na trwałym nośniku zapewnić mają do nich dostęp przez czas właściwy do celów, jakim informacje te służą. Z tego też względu sam fakt możliwości dostępu do informacji udostępnianych na indywidualnym koncie użytkownika w serwisie internetowym nie może zostać uznany za trwały nośnik informacji, gdyż dostęp do tego konta zostanie zablokowany względem użytkownika z chwilą zakończenia korzystania z usługi oferowanej przez przedsiębiorcę. Może być jednak konieczne uzyskanie dostępu do tych informacji ze względu na istnienie roszczeń, co do których termin przedawnienia jeszcze nie minął i które mogą być potencjalnie zgłoszone przez konsumenta w ramach dochodzenia przez niego swoich praw przed sądem.

Odnosząc się z kolei do drugiej cechy trwałego nośnika, jaką jest brak możliwości dokonywania zmian w dostarczanych informacjach, należy zauważyć, że w przypadku ich udostępniania w ramach prowadzonej przez przedsiębiorcę strony internetowej, czy też w ramach indywidualnego konta użytkownika, mogą być one (potencjalnie) edytowane przez przedsiębiorcę w dowolnym momencie, przy równoczesnym braku świadomości konsumenta o wprowadzanych modyfikacjach. Taki  stan rzeczy jest wysoce niepożądany z perspektywy konsumenta. Dostarczane przez przedsiębiorcę informacje nie są w takim przypadku w żaden sposób trwałe, gdyż ich zmiana możliwa jest w każdym czasie.

****

Wyrażony przez Prezesa UOKiK pogląd w sprawie wydaje się w istotny sposób wpływać na interpretację pojęcia „trwałego nośnika” występującą w polskim porządku prawnym. Jak sam zresztą wskazał on w swojej opinii, pomimo istnienia potrzeby każdorazowej analizy stanu faktycznego przemawiającego za koniecznością dokonania wykładni definicji „trwałego nośnika”, pojęcie to powinno być interpretowane i rozumiane tak samo na gruncie wszystkich przepisów służących ochronie konsumentów.

Nie sposób także pominąć faktu, że wyrażone stanowisko wpisuje się w dotychczasową wykładnię tego pojęcia na gruncie orzecznictwa unijnego (zob. wyrok TSUE z dnia 5 lipca 2012 r. w sprawie Content Services Ltd vs Bundesarbeitskammer, sygn. C-49/11). Doniosłość opinii przedkłada się bowiem na praktyczne wypełnianie obowiązków przez takie podmioty, jak chociażby banki/ skoki i inne instytucje finansowe, w tym instytucje płatnicze, które w ramach swojej działalności zobligowane są do wypełnienia rozległych obowiązków informacyjnych względem swoich klientów, w tym konsumentów. Zagadnienie to jest ponadto o tyle istotne, iż w ramach tak znaczącego rozwoju nowych technologii dostawcy usług płatniczych kierują się ku możliwie jak największej cyfryzacji w zakresie kontaktów ze swoimi klientami. Niemniej, należy pamiętać, że wszelkie wprowadzane przez nich innowacyjne rozwiązania powinny być dostosowane do obowiązujących przepisów prawa, co nie zawsze jest zadaniem prostym.

Z końcem lutego 2017 r. Europejski Urząd Nadzoru Bankowego (dalej: „EUNB”) uchwalił ostateczny projekt regulacyjnych standardów technicznych dotyczący silnego uwierzytelniania klientów oraz bezpiecznej komunikacji (dalej: „Standardy”). Początkowo dokument pojawić się miał z końcem stycznia 2017 r., jednakże ze względu na zbyt rygorystyczne regulacje spotkał się on z silnym sprzeciwem środowiska e-płatności. Dla podmiotów działających na rynku e-płatności Standardy stanowić będą jedno z kluczowych uregulowań wprowadzając obowiązek stosowania instytucji silnego uwierzytelniania w ramach obsługi rachunku płatniczego oraz przeprowadzania transakcji płatniczych.

****

Cel regulacji silnego uwierzytelniania

Zgodnie z motywami Standardów instytucja silnego uwierzytelniania stanowić ma podstawową metodę minimalizacji ryzyka oszustw w zakresie płatności elektronicznych. Jej wykorzystanie stanowić będzie zasadę zawsze, gdy dochodzić będzie do ujawnienia wrażliwych danych płatniczych, tj. danych potrzebnych do sprawdzenia salda rachunku lub historii transakcji płatniczych z ostatnich 90 dni. Z tego też względu korzystanie z procedury silnego uwierzytelniania nie będzie kwestią niezbędną jedynie w zakresie dokonania konkretnej płatności. Użytkownicy usług płatniczych będą mieli z nią do czynienia także w sytuacji uzyskania dostępu do swojego rachunku płatniczego.

Sama procedura uwierzytelniania poza wymogami technicznymi polegającymi na tworzeniu stosownych zabezpieczeń polegać ma również na wprowadzeniu funkcjonowania mechanizmu monitoringu transakcji, który pozwoli na wykrycie nieautoryzowanych lub oszukańczych operacji płatniczych. Tak rozbudowana struktura uwierzytelniania klientów ma za zadanie uściślić ochronę w zakresie działalności elektronicznych metod płatności.

Procedura silnego uwierzytelniania

Na gruncie Standardów zabezpieczenie operacji płatniczych przy użyciu silnego uwierzytelniania przybiera trójelementowy charakter. Wykorzystane środki opierają się na prostej koncepcji – coś co wiesz, coś co masz, coś czym jesteś. Wiedza stanowiąca pierwszą i w zasadzie fundamentalną część procedury uwierzytelniania odwoływać się ma np. do znajomości kodu PIN, potrzebnego do autoryzacji płatności. Posiadanie stanowiące kolejny element silnego uwierzytelniania dotyczy np. wykorzystania procedury potwierdzenia płatności przez posiadany smartfon użytkownika. Z kolei ostatnim, trzecim składnikiem, jest odwołanie się do zabezpieczeń biometrycznych polegających np. na wykorzystaniu odcisku palca użytkownika w ramach wykonywanej przez niego operacji płatniczej.

Zgodnie z ogólnymi założeniami każdy z powyższych składników jest w pełni niezależny od pozostałych, a złamanie jednego z nich nie wywiera żadnych negatywnych konsekwencji względem reszty. Procedura silnego uwierzytelniania klienta oparta ma być na wykorzystaniu minimum dwóch powyższych elementów, które następnie umożliwić mają wygenerowanie specyficznego kodu uwierzytelniającego. Kod ten ma zostać zaakceptowany przez dostawcę usług płatniczych tylko jednokrotnie w ramach uzyskiwania dostępu do konta online, rozpoczęcia transakcji płatniczej lub innej czynności związanej z obsługą konta, która mogłaby prowadzić do powstania ryzyka oszustwa albo innego nadużycia. Wygenerowany kod cechować ma się swoistymi wymogami polegającymi m.in. na niemożliwości jego podrobienia, czy też wygenerowania innego, który mógłby opierać się na tym poprzednim.

Standardy przewidują także podstawowe zasady wykorzystania procedury silnego uwierzytelniania klienta w ramach transakcji płatniczych. Z tego też względu liczba nieudanych prób uwierzytelniania ograniczona została do pięciu. Jeżeli użytkownik w sposób nieskuteczny przeprowadzi pięciokrotnie całą procedurę uwierzytelniania dochodzić ma do czasowego lub trwałego zablokowania elektronicznego instrumentu płatności. Z kolei maksymalny czas pozostawania bez jakiekolwiek aktywności ze strony płatnika na jego koncie online ograniczony został do maksymalnie pięciu minut liczonych od momentu skutecznego ukończenia procedury uwierzytelniania.

Warto także zwrócić uwagę, że Standardy narzucają na dostawców usług płatniczych inne wymogi związane z funkcjonowaniem kodów uwierzytelniających. Jednym z nich jest kwestia dynamicznego łączenia wygenerowanego kodu z kwotą transakcji oraz jej odbiorcą. Standardy bezpośrednio odwołują się także do obowiązku wprowadzenia odpowiednich środków umożliwiających zapewnienie poufności, autentyczności i integralności danych związanych z kwotą operacji płatniczej oraz odbiorcą płatności we wszystkich fazach procedury uwierzytelniania.

Wyjątki od stosowania procedury silnego uwierzytelniania

Standardy za ogólną zasadę przyjęły obowiązek korzystania z procedury silnego uwierzytelniania w celu zapewniania lepszej ochrony podmiotów korzystających z usług płatniczych oraz minimalizacji ryzyka oszustw i innych nadużyć z nimi związanych. Niemniej jednak przewidziany został szereg wyjątków, zgodnie z którym obowiązek ten został zniesiony. Warto jednakże wskazać, że możliwość niekorzystania z procedury silnego uwierzytelniania uzależniona została od innych czynników, które powinny zostać spełnione. Większość przewidzianych zwolnień obwarowana została szczegółowymi wymogami, które stanowić mają warunek konieczny skorzystania z opcji pominięcia procedury.

Po pierwsze, przypadkiem, który nie wymaga korzystania z procedury silnego uwierzytelniania jest transfer płatności w przypadku inicjacji całej operacji przez podmiot będący tą samą osobą fizyczną lub prawną zarówno po stronie płatnika jak i po stronie odbiorcy, a konta w ramach których dokonuje się płatności znajdują się u tego samego dostawcy usług płatniczych.

Po  drugie, podobne wyłączenie dotyczy także korzystania z samoobsługowych terminali płatniczych w ramach uiszczania opłaty za transport lub opłaty parkingowej. Przedmiotowe wyjątki odwołują się zatem do aspektów słusznościowych, którymi kierował się projektodawca w ramach przygotowywania Standardów – wprowadził on stosowne wyjątki, gdzie ryzyko nadużyć jest faktycznie niewielkie.

Po trzecie, do zwolnienia z obowiązku korzystania z procedury silnego uwierzytelniania dojdzie także wtedy, gdy w ramach dokonywanych operacji nie będą dostępne wrażliwe dane płatnicze, czyli dane dotyczące salda rachunku oraz historii transakcji z ostatnich 90 dni. Niemniej jednak wyjątek ten nie ma charakteru bezwzględnego, bowiem nie dotyczy sytuacji, w których użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku po raz pierwszy lub od ostatniego wykorzystania procedury silnego uwierzytelniania minęło ponad 90 dni. Zgodnie zatem z regulacją zawartą w Standardach obowiązek skorzystania z instytucji silnego uwierzytelniania powracać będzie każdorazowo minimum raz na 90 dni w ramach korzystania ze swojego rachunku płatniczego przez użytkownika.

Po czwarte, w ramach Standardów poruszono także bardzo istotną kwestię zwolnień z  obowiązku silnego uwierzytelniania podczas dokonywania tzw. transakcji o niskiej wartości. W  tym przypadku zwolnione od obowiązku korzystania z procedury będą wszelkie transakcje opiewające na kwotę niższą niż 30 euro. Warto zauważyć, że limit ten obowiązywać będzie także w przypadku kilku następujących po sobie transakcji płatniczych, jednakże ich łączna wartość nie może przewyższać 100 euro, a suma wszystkich operacji przekraczać 5 transakcji, na dzień. Podobne uregulowanie znalazło swoje odzwierciedlenie w kontekście zbliżeniowych płatności elektronicznych. Maksymalna kwota podczas operacji zwolnionej od obowiązku stosowania procedury silnego uwierzytelniania nie może przekraczać kwoty 50 euro, a kwota łącznych, występujących konsekwentnie po sobie transakcji wynosić ponad 150 euro lub przekraczać 5 operacji.

Analiza ryzyka transakcji a obowiązek silnego uwierzytelniania

Standardy poza obowiązkiem stosowania procedury silnego uwierzytelniania odwołują się także do potrzeby prowadzenia przez dostawców usług płatniczych mechanizmu monitoringu transakcji, którego zadaniem jest zapewnienie wykrywania nieautoryzowanych albo oszukańczych transakcji płatniczych. Mechanizm monitorowania transakcji ze swego założenia powinien być oparty na analizie transakcji płatniczych uwzględniając elementy typowe dla przeciętnego użytkownika usług płatniczych. Powinien on ponadto brać pod uwagę takie czynniki jak np. kwotę transakcji, listę zagrożonych lub ukradzionych składników uwierzytelniania, prawdopodobne scenariusze oszustwa, czy także oznaki infekcji złośliwym oprogramowaniem w ramach procedury uwierzytelniania.

Poza powyższymi wymogami mechanizm monitoringu transakcji obwarowany został dodatkowymi wymogami w przypadku podmiotów zwolnionych z obowiązku stosowania procedury silnego uwierzytelniania, ze względu na uznanie tego podmiotu za stwarzającego niski poziom ryzyka w ramach przeprowadzanych analiz ryzyka transakcji. Standardy określają szczególne warunki w ramach tworzenia analiz ryzyka transakcji wprowadzając m.in. trójstopniowy referencyjny wskaźnik transakcji oszukańczych. Podmioty mieszczące się w ramach konkretnych kategorii uznane za potencjalnie bezpieczne ze względu na niski wskaźnik oszustw mogą uzyskać prawo do zwolnienia z obowiązku silnego uwierzytelniania nawet w przypadku transakcji do kwoty 500 euro. Niemniej jednak zwolnienie z obowiązku stosowania procedury silnego uwierzytelniania w stosunku do podmiotów korzystających z analizy ryzyka transakcji uzależnione zostało od wielu innych czynników odwołujących się np. do analiz nietypowych lokalizacji płatnika lub analizy lokalizacji odbiorcy płatności, która nie wiążę się z dużym ryzykiem.

****

W artykule odwołano się jedynie do najistotniejszych postanowień zawartych w Standardach, które regulują kwestię silnego uwierzytelniania klientów i zwolnień od tego obowiązku. Możliwe jest dostrzeżenie, że nowa regulacja wprowadza istotne zmiany mające na celu zwiększenie ochrony użytkowników usług płatniczych, bez pozbawiania ich wygody i szybkości e-płatności. Ostateczne uchwalenie Standardów wiązać się będzie z obowiązkiem praktycznego dostosowania wielu mechanizmów wykorzystywanych obecnie przez dostawców usług płatniczych.

Pozytywnie należy ocenić chociażby zwolnienie z obowiązku silnego uwierzytelniania w  zakresie podmiotów, które posiadają niski wskaźnik ryzyka w ramach prowadzonej przez siebie działalności. Taka regulacja powinna sprzyjać mobilizacji intensyfikacji środków ochrony ze strony dostawców usług płatniczych, którzy chętnie korzystaliby z możliwości odstąpienia od procedury silnego uwierzytelniania w ramach obsługiwanych transakcji.