Prof. UEK dr hab. Jan Byrski

AdwokatPartner

Bio

Specjalizuje się w prawie innowacji finansowych (FinTech), w tym na rynku płatniczym, bankowym i ubezpieczeniowym, w aspektach prawnej ochrony informacji (danych osobowych, tajemnic zawodowych, tajemnicy przedsiębiorstwa), IT i TMT oraz prowadzeniu postępowań przed Prezesem NBP, Przewodniczącym KNF oraz Prezesem UODO i spraw przed sądami administracyjnymi. Doradza spółkom i instytucjom finansowym z rynku polskiego, jak i rynków międzynarodowych.

Jest ekspertem prawnym Polskiej Izby Ubezpieczeń (PIU) oraz Fundacji Rozwoju Obrotu Bezgotówkowego (FROB). Członek IAPP i stowarzyszenia SABI-IOD. Wiceprzewodniczący Komitetu FinTech PIIT. Członek zespołów roboczych w UKNF ds. rozwoju innowacji finansowych (FinTech) oraz grup roboczych MC, w tym ds. rejestrów rozproszonych i blockchain. Uczestnik prac parlamentarnych dotyczących dostosowania polskiego prawa do dyrektywy PSD 2, rozporządzenia interchange fee (IF Reg), RODO oraz licznych nowelizacji ustawy o ochronie danych osobowych i ustawy o usługach płatniczych. Prelegent na konferencjach, seminariach i szkoleniach w Polsce i zagranicą. Członek Rady Konsultacyjnej miesięcznika IT w Administracji.

Autor i współautor licznych pozycji naukowych i popularnonaukowych, m.in.: monografii „Tajemnica prawnie chroniona w działalności bankowej” (C.H. Beck 2010), która zdobyła I nagrodę NBP w konkursie Scientiae Legis Excellentia na najlepsze rozprawy doktorskie z prawa gospodarczego oraz rozprawy habilitacyjnej „Outsourcing w działalności dostawców usług płatniczych” (C.H. Beck 2018). Indywidulane rekomendacje w rankingu Chambers&Partners Europe 2020, 2021, 2022 Banking& Finance: Regulatory Poland, FinTech Legal Poland 2020 i 2021, 2022 oraz Legal 500 EMEA Poland 2020 i 2021, 2022 w kategorii: Data privacy and data protection.   

Profesor uczelni w Instytucie Prawa Uniwersytetu Ekonomicznego w Krakowie. Absolwent I stopnie naukowe na WPiA Uniwersytetu Jagiellońskiego. Uczestnik Szkoły Prawa Niemieckiego UJ oraz Uniwersytetów w Heidelbergu i Moguncji oraz Szkoły Prawa Austriackiego UJ i Uniwersytetu Wiedeńskiego. Stypendysta Fundacji Współpracy Polsko-Niemieckiej na Ruhr-Universität Bochum. Stypendia na Ernst-Moritz-Arndt Universität Greifswald, Johann Gutenberg Universität Mainz oraz w Max-Planck-Institut für Immaterialgüter-und Wettbewerbsrecht.

Biegle posługuje się językiem niemieckim i angielskim.


Powiązane newsy

Publikacje 22
26 kw. 2022

Blockchain w Polsce. Wersja 2.0

Blockchai Polska Izba Informatyki i Telekomunikacji opublikowała raport „Blockchain w Polsce. Wersja 2.0”. Opracowanie przygotowane zostało przy udziale przedstawicieli biznesu oraz instytucji publicznych.
 
Wśród autorów znaleźli się również prawnicy naszej kancelarii. Agnieszka Wachowska omawia systemy wykorzystujące technologię blockchain już wdrożoną na rynku polskim, natomiast prof. UEK Jan Byrski, PhD hab., Karol Juraszczyk oraz Piotr Orłowski opracowali część dotyczącą stablecoins w świetle projektowanych zmian prawnych oraz aktualnych przepisów dotyczących pieniądza elektronicznego.
 
Zapraszamy do lektury! Pełna wersja raportu dostępna jest tutaj

25 mar 2022

Chambers Fintech Global Practice Guide

Ukazał się Chambers Fintech Global Practice Guide, który powstał przy udziale prawników naszej kancelarii prof. UEK dr hab. Jana Byrskiego, Karola Juraszczyka, Macieja Miąsko, Michała Synowca.

Przewodnik obejmuje najważniejsze zagadnienia dla rynku technologii finansowych w 40 jurysdykcjach.

21 lut 2022

Polish Cloud 2.0 ZBP - Uwagi w zakresie wybranych wątków opinii

Prawnicy kancelarii Traple Konarski Podrecki i Wspólnicy oraz Maruta Wachta sp.k. opracowali uwagi dot. opinii opublikowanej do zaktualizowanej wersji standardu wdrożenia chmury obliczeniowej „Polish Cloud 2.0” opracowanej na zlecenie Związku Banków Polskich. Poza omówieniem modelu referencyjnego wynikającego z Komunikatu Standard zawiera jako dodatek opinię prawną w przedmiocie kwalifikacji prawnej korzystania z chmury obliczeniowej przez partnerów banku.

27 gru 2021

Outsourcing bankowy w świetle projektu ustawy o zmianie niektórych ustaw w związku zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na rynku

Zachęcamy do lektury ostatniego numeru Głosu Banków Spółdzielczych (nr 6/2021) wydanego przez Krajowy Związek Banków Spółdzielczych. W numerze został opublikowany artykuł prof. UEK dr hab. Jana Byrskiego oraz Henryka Hosera dotyczący projektowanych zmian w outsourcingu bankowym.

20 wrz 2021

Raport „Chmura obliczeniowa i jej rola w budowie Centrum Finansowego Nowej Generacji w Polsce. Wyzwania strategiczne i regulacyjne”

Zachęcamy do lektury raportu Fundacji FinTech Poland „Chmura obliczeniowa i jej rola w budowie Centrum Finansowego Nowej Generacji w Polsce. Wyzwania strategiczne i regulacyjne”. Raport miał premierę w dniu 14 września 2021 r. na Europejskim Kongresie Finansowym w Sopocie.

17 wrz 2021

Projekt zmian prawa dotyczących instytucji płatniczych

Ministerstwo Finansów przygotowało propozycję nowelizacji ustawy o usługach płatniczych, która została przekazana do konsultacji społecznych. Istotna część wniosku dotyczy działań małych instytucji płatniczych (SPI) w zakresie przestrzegania AML i obowiązków notyfikacyjnych wobec Komisji Nadzoru Finansowego.

08 wrz 2021

Praca zdalna a monitoring pracownika

Na rynku ukazała się publikacja „Praca zdalna w polskim systemie prawnym” pod red. Małgorzaty Mędrali.
 
Szczególnej uwadze polecamy rozdział „Praca zdalna a monitoring pracownika” autorstwa prof. UEK Jana Byrskiego, PhD hab. oraz Henryka Hosera.

04 sie 2021

Przetwarzanie przez podmioty nadzorowane informacji w chmurze obliczeniowej

Ukazała się publikacja pt. „Przetwarzanie przez podmioty nadzorowane informacji w chmurze obliczeniowej – praktyczny komentarz komunikatu Urzędu Komisji Nadzoru Finansowego dla dostawców usług płatniczych”, której autorami są adw. prof. UEK dr hab. Jan Byrski, adw. Henryk Hoser, r. pr. Karol Juraszczyk, r. pr. Maciej Miąsko i Michał Synowiec;

02 lip 2021

Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej

Wczoraj został opublikowany Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej na potrzeby sektora ubezpieczeniowego. Dokument był konsultowany z Polish Financial Supervision Authority.

19 kw. 2021

Chambers Global Practice Guide FinTech Poland Chapter

Miło nam poinformować, że na stronie Chambers and Partners dostępna jest już publikacja Fintech Poland Chapter.

05 lut 2021

Perspektywy prawnej rewolucji rynków kryptoaktywów

Zachęcamy do zapoznania się z artykułem prof. UEK dr hab. Jana Byrskiego i Michała Synowca, który został opublikowany w gazecie Parkiet.

22 lip 2019

Nałożenie administracyjnej kary pieniężnej za niezrealizowanie obowiązku informacyjnego przy pozyskiwaniu danych z publicznie dostępnych źródeł

Z przyjemnością informujemy, że glosa adw. dr. hab. Jana Byrskiego i adw. Henryka Hosera pt. „ Nałożenie administracyjnej kary pieniężnej za niezrealizowanie obowiązku informacyjnego przy pozyskiwaniu danych z publicznie dostępnych źródeł– glosa do ostatecznej decyzji Prezesa Urzędu Ochrony Danych Osobowych z 15.03.2019 r . (ZSPR.421.3.2018)” została opublikowana w Palestrze nr 05/2019.

25 maj 2019

International Comparativie Legal Guide FinTech 2019

Miło nam poinformować, że adw. dr hab. Jan Byrski oraz r.pr. Karol Juraszczyk są autorami jednego z rozdziałów w międzynarodowym przewodniku FinTech 2019 wydanym przez International Comparativie Legal Guide (ICLG).

04 kw. 2019

Najważniejsze zmiany nowelizacji ustawy o usługach płatniczych implementującej dyrektywę w sprawie usług płatniczych (PSD2) – praktyczny komentarz

Miło nam poinformować, że w marcu 2019
r. ukazało się kolejne opracowanie poświęcone zmianom regulacyjnym na
rynku usług płatniczych pt. „Najważniejsze zmiany nowelizacji ustawy o
usługach płatniczych implementującej dyrektywę w sprawie usług
płatniczych (PSD2) – praktyczny komentarz”.

22 mar 2018

Outsourcing w działalności dostawców usług płatniczych

Z przyjemnością informujemy, że nakładem Wydawnictwa C.H. Beck ukazała się monografia autorstwa Mecenasa Jana Byrskiego pt. „Outsourcing w działalności dostawców usług płatniczych”.

15 mar 2017

Nowelizacja ustawy o usługach płatniczych dotycząca Rozporządzenia 2015/751 ws. opłat interchange oraz Dyrektywy 2014/92/UE ws. rachunków płatniczych

Dzięki współpracy ekspertów z Kancelarii Traple Konarski Podrecki i Wspólnicy oraz Fundacji Rozwoju Obrotu Bezgotówkowego (FROB) ukazała się kolejna publikacja – praktyczny komentarz do nowelizacji Ustawy o Usługach Płatniczych.

16 gru 2016

Raport „FinTech w Polsce – bariery i szanse rozwoju”

„FinTech w Polsce – bariery i szanse
rozwoju”  to pierwszy w Polsce Raport stanowiący odpowiedź na potrzebę
przeprowadzenia rzetelnych badań dotyczących tego sektora rynku. Powstał
przy współpracy Fundacji Fintech Poland, Obserwatorium.biz i Centrum
Prawa Nowych Technologii WPiA Uniwersytetu Warszawskiego.

21 paź 2016

Długa walka o prawo do zaskarżenia kosztów

Artykuł dra Jana Byrskiego i Agaty Marcinkowskiej pt. „Długa walka o prawo do zaskarżenia kosztów” ukazał się w dzienniku Rzeczpospolita.

01 mar 2016

Praktyczny komentarz do Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2015/751 z dnia 29 kwietnia 2015 r.

Dzięki współpracy ekspertów z Kancelarii Traple Konarski Podrecki i Wspólnicy oraz Fundacji Rozwoju Obrotu Bezgotówkowego (FROB) ukazał się „Praktyczny komentarz do Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2015/751 z dnia 29 kwietnia 2015 r.  w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę”.

17 gru 2015

Regulation (EU) 2015/751 of the European Parliament and of the Council of 29 April 2015 on interchange fees for card-based payment transactions – Expert Guide CEE

Artykuł dra Jana Byrskiego pt. Regulation (EU) 2015/751 of the European Parliament and of the Council of 29 April 2015 on interchange fees for card-based payment transactionsukazał się w Expert Guide Opportunities & Developments – Central & Eastern Europe.

17 lis 2015

Komentarz do rozporządzenia nr 2015/751 w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę

Komentarz do
rozporządzenia nr 2015/751 w sprawie opłat interchange w odniesieniu do
transakcji płatniczych realizowanych w oparciu o kartę
jest pierwszą w Polsce publikacją do przepisów ustawy o usługach płatniczych dotyczącej opłaty interchange.

17 wrz 2015

Ochrona gry komputerowej. Aktualne wyzwania prawne (red. Elżbieta Traple)

Nakładem wydawnictwa Wolters Kluwer ukazała się publikacja Ochrona gry komputerowej. Aktualne wyzwania prawne.
Monografia jest pierwszym na rynku wydawniczym opracowaniem kompleksowo
przedstawiającym regulacje prawne dotyczące gier komputerowych.

Aktualności 12
21 lis 2022

Prof. UEK dr hab. Jan Byrski dołączył do Kolegium Redakcyjnego "Prawa Asekuracyjnego"

Miło nam poinformować, że prof. UEK dr. hab. Jan Byrski dołączył do Kolegium Redakcyjnego „Prawo Asekuracyjne”. Kwartalnik ukazuje się od 1994 roku i porusza prawne i ekonomiczne aspekty  ubezpieczeń gospodarczych oraz związanej z nimi problematyce prawa cywilnego, handlowego, finansowego i administracyjnego.

15 wrz 2022

CEE Legal HUB BootCamp 2022

W dniach 14-16 września 2022 r. na Kampusie Google for Startups w Warszawie będzie miał miejsce kolejny CEE Legal HUB BootCamp 2022.  

12 kw. 2022

Legal 500 EMEA 2022

Z przyjemnością informujemy, że kancelaria Traple Konarski Podrecki i Wspólnicy po raz kolejny została rekomendowana w rankingu The Legal 500 (Legalease) EMEA 2022 w 5 obszarach praktyki. Xawery Konarski znalazł się w gronie leading individual w dwóch kategoriach, a Agnieszka Wachowska kolejny rok z rzędu została uznana za Next generation partner w kategorii TMT.

23 lut 2022

Traple Konarski Podrecki i Wspólnicy oraz Polowiec i Wspólnicy łączą swoje siły

Nawiązana współpraca jest odpowiedzią na oczekiwania Klientów, których potrzebą jest dostęp do wyspecjalizowanych usług oraz współpraca z ekspertami dysponującymi doświadczeniem i znającymi potrzeby rynku. Szeroki dostęp do doradców posiadających wybitne doświadczenie i często bardzo specjalistyczne kompetencje nie tylko pozwala na poszerzenie oferty usług, ale przede wszystkim zapewni jeszcze wyższy standard obsługi prawnej w wybranych obszarach. Połączone zespoły prawników będą świadczyły usługi prawne dla klientów zarówno z zakresu europejskiego jak i polskiego prawa własności intelektualnej, prawa konkurencji, ICT i nowych technologii, RODO, FinTech (prawa innowacji finansowych), prawa gospodarczego i handlowego, prawa energetycznego, odnawialnych źródeł energii, prawa ochrony środowiska, przemysłu czy też szeroko rozumianego zakresu transformacji energetycznej. To właśnie te obszary stanowią największe wyzwania dzisiejszych czasów i decydują o przewadze konkurencyjnej naszych Klientów.

Wieloletnie doświadczenie prawników obu kancelarii zagwarantują nawet najbardziej wymagającym Klientom kompleksową obsługę i proaktywne reagowanie na ich potrzeby z uwzględnieniem dynamiki zmian rynkowych.

Kancelaria Polowiec i Wspólnicy posiada wieloletnie doświadczenie we współpracy z przemysłem energochłonnym. Kompetencje z zakresu energii, paliw, HSE, odpadów czy prawa medycznego, obejmują zarówno kwestie doradcze, negocjacyjne jak i regulacyjne. Prawnicy kancelarii swoje doświadczenie opierają przede wszystkim na wiedzy o sektorach, z którymi współpracują oraz ograniczeniach jak i aktualnych wyzwaniach regulacyjnych. Ta wiedza i doświadczenie doskonale uzupełnią kompetencje naszego zespołu – mówi Jan Byrski, Partner z kancelarii Traple Konarski Podrecki i Wspólnicy.

Kompetencje nowego zespołu obejmą również wsparcie w podejmowaniu strategicznych decyzji związanych z najistotniejszymi zmianami i wprowadzanymi nowelizacjami oraz ich praktycznymi aspektami. Doświadczenie zawodowe zdobyte we współpracy z różnymi podmiotami, znajomość kontekstu ekonomicznego i legislacyjnego oraz indywidulane podejście do oczekiwań Klienta to niewątpliwe atuty połączonych zespołów. Wsparcie rozwoju biznesu Klientów będzie naszym zdecydowanym priorytetem.

Jesteśmy dumni, mogąc współpracować z tak zróżnicowanym i wyspecjalizowanym zespołem ekspertów z silną pozycją na polskim i międzynarodowym rynku. Wierzę, że wspólnie sprostamy ambitnym wyzwaniom stawianym przez Klientów. Poszerzenie naszej oferty między innymi o cyberbezpieczeństwo, prawo konkurencji, ICT i nowych technologii niewątpliwie wychodzi naprzeciw oczekiwaniom rynku – mówi Beata Superson-Polowiec, Wspólnik z kancelarii Polowiec i Wspólnicy.

10 lut 2022

Komisja Nadzoru Finansowego wpisała Open Pay Sp. z o.o. do rejestru małych instytucji płatniczych

Informujemy, że w rejestrze małych instytucji płatniczych prowadzonym przez Komisję Nadzoru Finansowego pojawiła się kolejna spółka – Open Pay sp. z o.o. To już drugi z naszych klientów, który w ciągu ostatnich dwóch miesięcy został wpisany do rejestru. Całe postępowanie trwało tylko niecałe półtora miesiąca!

13 gru 2021

Chambers FinTech 2022

Zespół FinTech Kancelarii TKP został po raz kolejny wyróżniony w rankingu Chambers and Partners FinTech Legal in Poland 2021 (Band 2).
 
Ponadto, prof. UEK dr hab. Jan Byrski otrzymał indywidualną rekomendację tej kategorii w Band 2.
 
Gratulacje dla całego zespołu FinTech!
prof. UEK dr hab. Jana Byrskiego, Karola Juraszczyka, Macieja Miąsko, Henryka Hosera, Michała Synowca, Michała Słuszniaka – dziękujemy za Waszą pracę i zaangażowanie!

21 kw. 2021

The Legal 500 (Legalease) EMEA 2021

Z przyjemnością informujemy, że kancelaria Traple Konarski Podrecki i Wspólnicy po raz kolejny została rekomendowana w rankingu The Legal 500 (Legalease) EMEA 2021 w 4 obszarach praktyki. Dwóch naszych prawników znalazło się w gronie Leading Individuals: Prof. Elżbieta Traple, PhD, hab. i adw. Xawery Konarski. R.pr. Agnieszka Wachowska kolejny rok z rzędu została uznana za Next generation partner. W poszczególnych kategoriach w gronie recommended lawyers znaleźli się: Data privacy and data protection: prof. UEK Jan Byrski, PhD hab., Prof. INP PAN dr hab. Grzegorz Sibiga, adw. Katarzyna Syska, Intellectual Property: Prof. INP PAN dr hab. Paweł Podrecki, Anna Sokołowska-Ławniczak Ph.D., Competition/Antitrust: Prof. INP PAN dr hab. Paweł Podrecki, dr Tomasz Targosz, dr Katarzyna Menszig-Wiese, LL.M, TMT: Prof. INP PAN dr hab. Grzegorz Sibiga, dr Piotr Wasilewski.

18 gru 2020

Chambers & Partners - FinTech Legal in Poland 2021

Z przyjemnością informujemy, że zespół FinTech Kancelarii Traple Konarski Podrecki i Wspólnicy został wyróżniony w prestiżowym rankingu najlepszych kancelarii Chambers and Partners FinTech Legal in Poland 2021 (Band 2).

Ponadto, prof. UEK Jan Byrski, PhD hab. otrzymał indywidualną rekomendację i awans w tej kategorii w stosunku do zeszłego roku z Band 3 do Band 2.

22 paź 2020

mElements S.A. uzyskało rozszerzenie zezwolenia na usługi inicjowania transakcji płatniczej (PIS) oraz usługę dostępu do informacji o rachunku (AISS)

Na stronie KNF ukazał się komunikat w sprawie decyzji podjętych przez Komisję Nadzoru Finansowego w dniu 20 października 2020 r., z którego wynika, że mElements S.A. uzyskało rozszerzenie zezwolenia na usługi inicjowania transakcji płatniczej (PIS) oraz usługę dostępu do informacji o rachunku (AISS).

Niezależnie od trwającego okresu epidemii uzyskanie rozszerzenia zezwolenia KNF zajęło (jedynie) 6 miesięcy, mimo że mElements S.A. (krajowa instytucja płatnicza) wykorzystuje w swojej działalności chmurę obliczeniową.

Sprawę prowadzili: prof. UEK Jan Byrski, PhD hab. oraz Maciej Miąsko.

16 kw. 2020

Ranking Legal 500 EMEA

Jest nam niezmiernie miło poinformować, że po raz kolejny zostaliśmy docenieni w międzynarodowym rankingu The Legal 500 EMEA. Przyznane wyróżnienia świadczą nie tylko utrzymaniu wysokiego poziomu naszych usług, ale również o nieustannym rozwoju Kancelarii Traple Konarski Podrecki i Wspólnicy.

27 lut 2019

Studia podyplomowe: Ochrona danych osobowych w ogólnych rozporządzeniu o ochronie danych RODO

Wydział
Finansów i Prawa Uniwersytetu Ekonomicznego w Krakowie informuje o
otwarciu rekrutacji na I edycję Studiów podyplomowych pn. „Ochrona
danych osobowych w ogólnym rozporządzeniu o ochronie danych (RODO)”.

28 wrz 2017

Studia podyplomowe INP PAN „Wykonywanie funkcji inspektora ochrony danych”

W dniu 7 października 2017 r. odbędzie się inauguracja studiów
podyplomowych Instytutu Nauk Prawnych PAN „Wykonywanie funkcji
inspektora ochrony danych”.

Wydarzenia 76
13 paź 2022

Przegląd aktualności regulacyjnych dla sektora FinTech

Zapraszamy na szkolenie w temacie: „Przegląd aktualności regulacyjnych dla sektora FinTech” organizowane przez specjalistów kancelarii prawnej Traple Konarski Podrecki i Wspólnicy.

21 wrz 2022

Legal FinTech 2022. Wyzwania prawne w sektorze innowacji finansowych

O tym, jak wyglądają aktualne ramy prawne w przestrzeni fintech oraz z czym przyjdzie się zmierzyć instytucjom finansowym w kontekście zmian, jakie są planowane w najbliższym czasie – porozmawiamy na jutrzejszej konferencji „Legal FinTech 2022. Wyzwania prawne w sektorze innowacji finansowych”.

06 maj 2022

Kontrole sektorowe Prezesa UODO 2022 – profilowanie klientów i potencjalnych klientów przez Banki oraz informowanie o dokonanej ocenie zdolności kredytowej

W programie:

  • Podstawy prawne przetwarzania (profilowania) danych osobowych klientów/potencjalnych klientów banków oraz zautomatyzowanego podejmowania decyzji
  • Obowiązki w zakresie przejrzystego informowania o profilowaniu oraz przejrzystego informowania osób o dokonanej ocenie kredytowej
  • Realizacja praw podmiotów danych (w tym sprzeciwu, prawa dostępu do danych, itp.) w kontekście przetwarzania danych osobowych przez banki w związku z profilowaniem
  • Przygotowanie do kontroli Prezesa UODO oraz przebieg kontroli
06 maj 2022

Monitoring legislacyjny 2022 – bankowość elektroniczna i nowe technologie

W programie m.in.:

  • Rozporządzenie DORA – nowe regulacje bezpieczeństwa sektora finansowego
  • Technologie cyfrowe w służbie odporności przedsiębiorstwa
  • Praktyczne problemy outsourcingu IT i nowych technologii w perspektywie planowanych zmian regulacyjnych
  • Pieniądz cyfrowy banków centralnych
  • Regulacje technologiczne UE mające nieoczywisty wpływ na banki – przegląd 2022
  • Kontrole sektorowe w 2022 roku w bankach oraz najnowsze orzecznictwo Prezesa UODO dotyczące relacji administrator – podmiot przetwarzający – Prof. UEK dr hab. Jan Byrski
  • Forensic i ślady cyfrowe a pokrzywdzona spółka w procesie karnym
18 sty 2022

VIII Polski Kongres Prawa Ochrony Danych Osobowych

DZIEŃ 1

  • Wybrane problemy dotyczące przetwarzania w celach związanych z marketingiem internetowym
  • Transfery danych – co się zmieniło przez ostatni rok?
  • Omówienie najnowszych orzeczeń sądów zagranicznych w sprawie RODO
  • Decyzje upominawcze w praktyce PUODO
  • Systemy DLT (Data Loss Prevention) i ich wykorzystanie w ochronie danych
  • Naruszenie ochrony danych – praktyczne wnioski płynące z analizy decyzji Prezesa UODO
  • Jak prawidłowo i skutecznie zarządzać plikami cookie na stronie internetowej?
  • Monitoring pracowników w kontekście pracy zdalnej – prof. UEK dr hab. Jan Byrski, Henryk Hoser
  • Współpraca z organem nadzorczym w świetle decyzji Prezesa UODO

DZIEŃ 2

  • Zgłaszanie naruszeń ochrony danych w świetle decyzji PUODO – case study Banku Millenium
  • Utrzymanie i doskonalenie ochrony danych osobowych w organizacji
  • Wykazywania zgodności w przypadku naruszenia ochrony danych osobowych
  • Przetwarzanie danych biometrycznych pracowników – praktyczne aspekty
  • Obowiązki administratorów danych w kontekście przepisów o ochronie osób zgłaszających naruszenia prawa
  • Wykorzystanie zagregowanych danych rynkowych – ryzyka oraz sposoby ich ograniczania
  • Obiektywne i subiektywne rozumienie pojęcia „danych osobowych”. Różnice w podejściu sądów i organów nadzorczych oraz ich konsekwencje – Prof. INP PAN dr hab. Grzegorz Sibiga
  • Re-use danych osobowych przez podmiot przetwarzający
  • Przygotowanie i przebieg kontroli PUODO w zakresie aplikacji moblinych

DZIEŃ 3

  • Czy potencjalne roszczenia mogą stanowić podstawę prawna przetwarzania? – przegląd stanowisk.
  • Odpowiedzialność procesora za naruszenie RODO
  • RODO w bankowości i sektorze finansowym – praktyka, problemy i błędy
  • Przetwarzanie danych osobowych w badaniach klinicznych
  • RODO i AI Act – sztuczna inteligencja w Unii Europejskiej. Obecny reżim prawny i planowane zmiany
  • Przegląd najciekawszych spraw i kar w obszarze ochrony danych osobowych w UE w latach 2020-2022
  • PIPL, CCPA a RODO – praktyczne zagadnienia zarządzania ochroną danych w międzynarodowych organizacjach
  • Prawo dostępu do danych realizowane w praktyce
10 sty 2022

Usługi płatnicze w działalności przedsiębiorców telekomunikacyjnych – projektowane zmiany przepisów oraz modele regulacyjne

W ramach webinarium prof. UEK Jan Byrski, PhD hab. oraz Karol Juraszczyk omówią m.in.:

  • modele świadczenia usług płatniczych dopuszczalne przez przedsiębiorców telekomunikacyjnych, ze szczególnym uwzględnieniem płatności typu direct billing,
  • zmiany przepisów dotyczące tego rodzaju płatności, wynikające z projektu Prawa komunikacji elektronicznej z dnia 2 grudnia 2021 r., wdrażającego dyrektywę Europejski Kodeks Łączności Elektronicznej (EKŁE).
07 gru 2021

Digital Banking Academy

W programie wydarzenia:

  • Jak włączyć te technologie do cyfrowej strategii banku
  • Czym jest cyfrowe przywództwo
  • Jak poruszać się wśród nowych przepisów
  • Jak budować relacje z klientem w cyfrowej rzeczywistości
  • Kim się inspirować digitalizując organizację

Z przyjemnością informujemy, że prof. UEK dr hab. Jan Byrski wygłosi prelekcję pt. Zmiany w przepisach dotyczących outsourcingu w działalności bankowej.

07 gru 2021

Nowe wyzwania regulacyjne i nadzorcze w obszarze innowacji finansowych

Z programie wydarzenia poruszymy tematykę:

  • cyberbezpieczeństwa – aspektów prawnych oraz edukacyjnych;
  • PSD2 – analizy wyzwań regulacyjnych i technologicznych po 2 latach od wdrożenia dyrektywy oraz perspektywy na kolejne lata;
  • kierunku regulacji cyfrowych finansów (MICA, DLT Pilot regime), tj. odpowiedzi na pytanie, czy można uregulować zdecentralizowane finanse, oraz
  • nowych regulacji crowdfundingu – zarówno na poziomie rozporządzeń, jak i lokalnych przepisów implementujących. Zastanowimy się także nad tym, czy regulacje te będą stanowiły szanse, czy też zagrożenie.
08 wrz 2021

Chmura i outsourcing w sektorze finansowym – regulacje i ich przełożenie na praktykę funkcjonowania

Program:

  • Wytyczne EBA w zakresie outsourcingu. Kiedy stosujemy odpowiednie procedury?
  • Komunikat Chmurowy UKNF – praktyka stosowania
  • Umowy wdrożeniowe na usługi chmurowe
  • Outsourcing regulowany, chmura i tajemnica zawodowa – Prof. UEK dr hab. Jan Byrski
  • Umowy outsourcingowe oraz SaaS w finansach krok po kroku. Abc dobrej umowy
  • Szyfrowanie informacji w chmurze publicznej – implementacja rozwiązań
  • Analiza i szacowanie ryzyka
  • Dobry Exit Plan krok po kroku – Agnieszka Wachowska
  • Rozporządzenie unijne DORA (Digital Operational Resilience Act)
08 wrz 2021

VII Polski Kongres Prawa Ochrony Danych Osobowych

W programie m.in:

  • COVID a RODO – największe problemy i wyzwania w zakresie ochrony danych osobowych w czasie pandemii
  • Co to jest transfer danych osobowych? Problematyczne przykłady praktyczne
  • Projekt unijnego rozporządzenia o e-prywatności – co nas czeka?
  • Test równowagi dla przesłanki prawnie uzasadnionego interesu administratora lub osoby trzeciej
  • Najciekawsze decyzje w obszarze RODO zagranicznych organów nadzorczych i wyroki zagranicznych sądów z tego obszaru wydane w 2021 roku
  • Omówienie najciekawszych zagadnień dotyczących ochrony danych osobowych w sektorze bankowym
  • Kontrola trzeźwości pracowników – projektowane zmiany w kodeksie pracy i ustawie o wychowaniu w trzeźwości

Z przyjemnością informujemy, że adw. prof. UEK dr hab. Jan Byrski oraz adw. Henryk Hoser wygłoszą prelekcję pt. „Omówienie najciekawszych kar PUODO i krajowych naruszeń RODO w 2021 r.” oraz „Marketing internetowy a RODO – błędy i dobre praktyki”.

25 sie 2021

Legal FinTech 2021

16 września 2021 r. odbędzie się konferencja Legal FinTech 2021. Tematem przewodnim wydarzenia są wyzwania prawne w sektorze technologii finansowych.

Konferencja została podzielona na 5 paneli tematycznych:

  • Outsourcing i wdrożenia chmury obliczeniowej na rynku finansowym
  • Dwa lata po implementacji PSD2 – otwarta bankowość i nowe wyzwania
  • Nowe inicjatywy na szczeblu UE i ich wpływ na rynek FinTech
  • Cyberbezpieczeństwo i ochrona danych osobowych na rynku FinTech
  • Wykorzystywanie rozwiązań innowacyjnych na potrzeby AML/CFT i compliance

Z przyjemnością informujemy, że nasza kancelaria jest Partnerem merytorycznym wydarzenia.

25 sie 2021

Przegląd aktualności regulacyjnych dla sektora FinTech

Program:

  • Najnowsze zmiany dotyczące outsourcingu regulowanego, w tym cloudcomputing – adw. prof. UEK dr hab. Jan Byrski
  • Projekty PayTech – wybór modelu regulacyjnego i jego konsekwencje, ze szczególnym uwzględnieniem obowiązków AML – r. pr. Karol Juraszczyk
  • Przetwarzanie informacji o klientach i beneficjentach rzeczywistych w implementacji AMLD5 – r. pr. Maciej Miąsko
  • Nowa regulacja dot. crowdfundingu – najważniejsze zmiany wynikające z Rozporządzenia w sprawie europejskich dostawców usług finansowania społecznościowego (2020/1503) – r. pr. Karol Juraszczyk i apl. radc. Michał Słuszniak
  • Prawne regulacje kryptoaktywów – ewolucja czy rewolucja? – Michał Synowiec
08 cze 2021

Digital Money & Blockchain Forum

Tematem przewodnim VIII edycji będą – „Aktywa cyfrowe, bitcoin i cyfrowe pieniądze – nowy etap?”.

Na wydarzeniu zostaną poruszone następujące kwestie:

  • Jakie interesujące rozwiązania techniczne pojawiły się ostatnio w świecie blockchain?
  • Jaka przyszłość czeka Ethereum (PoS i in.) oraz rynek tokenów ERC20 i NFT?
  • Czy już czas na ściślejsze regulacje rynków kryptowalut oraz jak to wpłynie na innowacyjność?
  • Czy Polska będzie podążała w tyle za regulacjami UE, czy wyjdzie przed szereg i dogoni Estonię?
  • Czy powstanie cyfrowy złoty, czy też w Polsce będziemy używać cyfrowego euro, juana i diem?

Z przyjemnością informujemy, że eksperci z naszej kancelarii prof. UEK dr hab. Jan Byrski i Michał Synowiec wygłoszą prelekcję pt. „Regulacja działalności dostawców usług w zakresie kryptoaktywów – stan obecny oraz perspektywy zmian”.

Więcej informacji znajdą Państwo na stronie organizatora.

04 maj 2021

IX Cashless Congress

W dniach 8 – 9 czerwca 2020, odbędzie się IX edycja Cashless Congress.

Podobnie jak w poprzednich latach, Kancelarię Traple Konarski Podrecki i Wspólnicy podczas spotkania reprezentować będzie adwokat prof. UEK dr hab. Jan Byrski.

Organizatorem Cashless Congress jest Fundacja Rozwoju Obrotu Bezgotówkowego (FROB).

Więcej informacji: https://www.cashlesscongress.pl/

09 kw. 2021

Szkolenie: Przegląd aktualności regulacyjnych dla sektora FinTech

Celem szkolenia jest zapoznanie uczestników z zagadnieniami dotyczącymi najnowszych zmian prawnych na rynku usług płatniczych dotyczących sektora FinTech, w tym PayTech i LendTech, oraz umożliwienie nabycia wiedzy i umiejętności pozwalających na swobodne stosowanie aktualnych rozwiązań prawnych w codziennej praktyce.

Program:

  • Najnowsze zmiany dotyczące outsourcingu regulowanego, w tym cloud computing – adw. prof. UEK dr hab. Jan Byrski
  • Projekty PayTech – wybór modelu regulacyjnego i jego konsekwencje, ze szczególnym uwzględnieniem obowiązków AML – r. pr. Karol Juraszczyk
  • Przetwarzanie informacji o klientach i beneficjentach rzeczywistych w implementacji AMLD5 – r. pr. Maciej Miąsko
  • Nowa regulacja dot. crowdfundingu – najważniejsze zmiany wynikające z Rozporządzenia w sprawie europejskich dostawców usług finansowania społecznościowego (2020/1503) – r. pr. Karol Juraszczyk i apl. radc. Michał Słuszniak
  • Prawne regulacje kryptoaktywów – ewolucja czy rewolucja? – Michał Synowiec
02 kw. 2021

VI Polski Kongres prawa ochrony danych osobowych

Zapraszamy na VI edycję Polskiego Kongresu prawa ochrony danych osobowych, który odbędzie się w dniach 21-23 kwietnia 2021 r.

Z przyjemnością informujemy, że podczas drugiego dnia Kongresu prof. UEK dr hab. Jan Byrski oraz Henryk Hoser wygłoszą prelekcję pt. „Marketing internetowy a RODO – błędy i dobre praktyki”.

23 lut 2021

Ochrona konsumenta - najnowsze zmiany prawne, trendy, kierunki rozwoju

Zapraszamy Państwa do udziału w dwudniowych warsztatach organizowanych przez MMC Polska.

Podczas wydarzenia, które odbędzie się w dniach 22-23 marca 2021 r., nasi eksperci podzielą się wiedzą z zakresu Ochrony konsumenta i nowych technologii – o szansach, ryzykach, wyzwaniach, czyli bezpiecznej transformacji w sektorze produktów konsumenckich i handlu opowiedzą prof. INP PAN dr hab. Paweł Podrecki i prof. UEK Jan Byrski, PhD hab. Z kolei dr Katarzyna Menszig-Wiese, LL.M opowie więcej o praktycznych aspektach Rozszerzenia ochrony konsumenckiej na niektórych przedsiębiorców.

19 sty 2021

Szkolenie: Przegląd aktualności regulacyjnych FinTech, w tym dla PayTech i LendTech

Zapraszamy na szkolenie pt. „Przegląd aktualności regulacyjnych FinTech, w tym dla PayTech i LendTech”, które odbędzie się w dniu 28 stycznia 2021 r.

W programie wydarzenia m.in. najnowsze praktyki KNF (m.in. MIP, licencje AIS/PIS, cloud computing), bliższe i dalsze zmiany w prawie (AML5 i AML6, przedsiębiorca konsumentem, crowdfunding, rewizja CCD).

Zapraszamy do udziału!

27 paź 2020

Forum Usług Płatniczych 2020

Z przyjemnością informujmy, że w dniu 29 października 2020 r. odbędzie się Forum Usług Płatniczych 2020, na którym prelekcję pt. „Zmiany legislacyjne na rynku usług płatniczych – szybki update” wygłosi prof. UEK dr hab. Jan Byrski.

Zapraszamy do udziału!

23 wrz 2020

Webinarium: Chmura obliczeniowa w instytucjach finansowych

Zapraszamy na webinarium „Chmura obliczeniowa w instytucjach finansowych”, który obędzie się 30 września 2020 r. Organizatorem wydarzenia jest Polska Izba Informatyki i Telekomunikacji.

Podczas webinarium zostaną poruszone najważniejsze kwestie:

  • wykorzystanie rozwiązań opartych o chmurę obliczeniową przez podmioty działające na szeroko pojmowanym rynku finansowym
  • odpowiednie przygotowanie organizacji do planowanej migracji do chmury
  • zabezpieczenia interesów instytucji finansowych w kontraktach z dostawcami

Dodatkowo zaprezentowane zostaną praktyczne problemy zakończenia współpracy z dostawcami. Tematyka webinarium pozostaje szczególnie aktualna pod kątem terminu wyznaczonego podmiotom nadzorowanym przez KNF na dostosowanie się do wymagań nowego komunikatu chmurowego UKNF, który upływa 1 listopada 2020 r.

23 wrz 2020

Szkolenie online: Zmiany prawne - bankowość elektroniczna i FinTech

Już 30 września 2020 r. odbędzie się warsztat szkoleniowy online na temat zmian prawnych – bankowość elektroniczna i fintech.

Z przyjemnością informujemy, że podczas wydarzenia prof. UEK dr hab. Jan Byrski wygłosi prelekcję „Bariery i już efekty prac zespołu w UKNF w zakresie bankowości elektronicznej i usług płatniczych, m.in. wymagania do zautomatyzowanego przetwarzania danych przy ocenie zdolności kredytowej”.

 

06 wrz 2020

V Polski Kongres Prawa Ochrony Danych Osobowych

Piąta edycja Polskiego Kongresu Prawa Ochrony Danych Osobowych odbędzie się w dniach 18-20 listopada w Warszawie.

Z przyjemnością informujemy, że prof. UEK dr hab. Jan Byrski oraz adw. Henryk Hoser wygłoszą prelekcję pt. „Najnowsze kary za naruszenie RODO nałożone przez PUODO – błędy i wnioski”.

Zapraszamy do udziału!

 

26 sie 2020

Najnowsze zmiany prawne na rynku usług płatniczych – implementacja dyrektywy AML5 i PSD2, outsourcing regulowany, w tym cloud computing, rozszerzenie rygoru konsumenckiego

Celem szkolenia jest zapoznanie uczestników z zagadnieniami dotyczącymi najnowszych zmian prawnych na rynku usług płatniczych oraz umożliwienie nabycia wiedzy i umiejętności pozwalających na swobodne stosowanie aktualnych rozwiązań
prawnych w codziennej praktyce.

Program wydarzenia:

  • Najnowsze zmiany dotyczące outsourcingu regulowanego, w tym cloud computing – adw. prof. UEK dr hab. Jan Byrski
  • Przetwarzanie informacji o klientach w najnowszym projekcie implementacji AMLD5 oraz stosowanie reżimu konsumenckiego wobec klientów biznesowych – r. pr. Maciej Miąsko
  • Waluty wirtualne oraz stosowanie innowacyjnych rozwiązań technicznych z perspektywy regulacji AML – apl. radc. Michał Synowiec
  • Projekty Fintech – wybór modelu regulacyjnego i jego konsekwencje, prawo telekomunikacyjnej a usługi płatnicze – r. pr. Karol Juraszczyk

Zapraszamy do udziału!

24 sie 2020

8th Cashless Congress

On 14–15 September 2020, 8th Cashless Congress will take place. This time, the meeting is dedicated to issues related to the cashless payment market and it will also host the Awards Ceremony of the Cashless Congress 4 Startups contest. During the congress, participants will have an opportunity to see many interest presentations and exchange opinions, for example on legal changes, new product trends, innovative technologies and activities to promote cashless payments. Traple Konarski Podrecki i Wspólnicy will be represented by our Partner and attorney-at-law, Jan Byrski, PhD Habil., Professor of the Krakow University of Economics.

The organizers of the event are Fundacja Rozwoju Obrotu Bezgotówkowego (Cashless Trade Development Foundation) and Fundacja Polska Bezgotówkowa (Cashless Poland Foundation) in cooperation with Polska Agencja Rozwoju Przedsiębiorczości (Polish Agency for Enterprise Development).

For more information about the program and participation, please visit: https://www.cashlesscongress.pl/

We will be very happy to see you there.

11 sie 2020

Training session: Recent Legal Changes in the Payment Services Market

On 28 June 2018, a training session on Recent Legal Changes in the Payment Services Market – Act Implementing PSD 2 Directive will be held in Warsaw.

The training session aims to familiarise the participants with issues concerning the latest legal developments in the payment services market and to offer them the opportunity to acquire knowledge and skills needed to fluently use current legal solutions in their everyday practice.

The meeting will be held by experts from our law firm – Jan Byrski, PhD, attorney-at-law (the leader of the Fintech team), Karol Juraszczyk, legal advisor and Maciej Miąsko, legal advisor. 

The event is organised by Foundation for the Development of Non-cash Payments (FROB).

30 cze 2020

Training session: Legal Changes in the Payment Services Market.

You are welcome to participate in a training entitled Legal Changes on the Payment Services Market, organised by the Foundation for Non-Cash Transactions Development (Fundacja Rozwoju Obrotu Bezgotówkowego).

17 cze 2020

Webinar: Cloud computing on the banking, payment and insurance markets. The most recent regulations. The first experiences.

You are very welcome to participate in a webinar entitled Cloud computing on the banking, payment and insurance markets. The most recent regulations. The first experiences. The event is organised by the Polish Chamber of Information Technology and Communications.

During the webinar there will be a discussion about practical aspects of the supervised companies using the services of processing data in a computing cloud. The speakers will focus on presenting the scope of the most recent changes in the approach of the Polish Financial Supervision Authority to cloud computing and assessing their impact on the activities of cloud service providers. Moreover, they will present examples of approach to the implementation of cloud solutions in individual organisations and key contractual provisions to which the entities from the banking, payment and insurance market should pay attention in order to secure their interests and meet the expectations of the Polish Financial Supervision Authority.

The event will be led by Jan Byrski, PhD hab., Professor of the Cracow University of Economics

More information about the event is available on the website of the organiser.

08 cze 2020

Training session: Practical side of the operation of outsourcing and cloud computing in view of the EBA guidelines and communication of the Polish Financial Supervision Authority

Online training entitled “Practical side of the operation of outsourcing and cloud computing in view of the EBA guidelines and communication of the Polish Financial Supervision Authority” will be held on 8 and 9 June. The event is organised by MMC Polska.

On Day 2 of the training, 2 June, Jan Byrski, PhD hab., Attorney-at-Law, will speak, among other things, about:

  • Outsourcing agreements in practice – contractual provisions between banks and providers
  • Qualification of contracts as outsourcing agreements
  • Assessment of critical nature and risk of functions outsourced to the provider
  • Security measures applied in agreements
  • Liability of banks and providers in practical outsourcing agreements
03 mar 2020

Seminarium: Outsourcing, w tym cloud computing w działalności dostawców usług płatniczych

Zapraszamy na seminarium pt. „Outsourcing, w tym cloud computing w działalności dostawców usług płatniczych – nowe regulacje, wytyczne EUNB (EBA) i UKNF (komunikat z 23.01.2020 r.)”.

Wydarzenie odbędzie się w dniu 3 marca 2020 r. w Warszawie.

Miło nam poinformować, że seminarium poprowadzą adw. prof. UEK dr hab. Jan Byrski i adw. Henryk Hoser. Eksperci przedstawią najnowsze regulacje związane z przepisami dotyczącymi outsourcingu w działalności dostawców usług płatniczych oraz wymogów wynikających z przepisów RODO z uwzględnieniem specyfiki sektora finansowego. W ramach poruszanych zagadnień uwzględniony zostanie zarówno najnowszy komunikat UKNF dotyczący cloud computingu z 23.01.2020 r. 

Zapraszamy do rejestracji!

19 lut 2020

Webinarium: Nowe wytyczne EBA dot. outsourcingu a podejście krajowe KNF dot. cloud computingu

Zapraszamy na webinarium Polskiej Izby Informatyki i Telekomunikacji pt. „Nowe wytyczne EBA dot. outsourcingu a podejście krajowe KNF dot. cloud computingu”, które odbędzie się w dniu 19 lutego 2020 r. w Warszawie.

W ramach wydarzenia omówione zostanie projektowane przez Komisję Nadzoru Finansowego (KNF) nowe stanowisko w przedmiocie zasad korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej. Prelegenci skupią się na przedstawieniu zakresu ostatnich zmian w podejściu KNF do cloud computing’u oraz oceny ich wpływu na działalność dostawców chmury. Ponadto, założenia opracowywanego przez KNF stanowiska zostaną porównane do rozwiązań przyjętych na szczeblu unijnym, tj. w ramach wytycznych ws. outsourcingu opracowanych przez Europejski Urząd Nadzoru Bankowego, które swoim zakresem obejmują m.in. kwestie korzystania przez wybranych dostawców z usług przetwarzania danych w chmurze obliczeniowej.

Webinarium poprowadzą adw. prof UEK dr hab. Jan Byrski i apl. radc. Michał Synowiec.

Zapraszamy do udziału!

28 lis 2019

Szkolenie: Praktyka orzecznicza oraz obowiązki związane z naruszeniami ochrony danych osobowych w świetle nowego poradnika Prezesa UODO

Zapraszamy na szkolenie pt. „Praktyka orzecznicza oraz obowiązki związane z naruszeniami ochrony danych osobowych w świetle nowego poradnika Prezesa UODO”, które odbędzie się w dniu 28 listopada 2019 r. w Warszawie.

W trakcie szkolenia eksperci z naszej kancelarii, adw. dr hab. Jan Byrski oraz adw. Henryk Hoser przedstawią poszczególne problemy i zagadnienia związane z  naruszeniami ochrony danych, wskażą wybrane przykłady nakładania sankcji finansowych na przedsiębiorców, a także kompleksowo omówią najważniejsze zapisy z nowo wydanego poradnika.

Poruszone zostaną takie zagadnienia jak:

  • praktyka organu nadzorczego w świetle nowych przepisów o ochronie danych osobowych oraz aktualnego orzecznictwa;
  • naruszenia ochrony danych – ewidencjonowanie naruszeń wewnątrz organizacji;
  • zgłaszanie naruszeń do organu nadzorczego i informowanie osób o naruszeniach – aspekty praktyczne;
  • podsumowanie i warsztat praktyczny.

Rejestracja na szkolenie możliwa jest poprzez stronę MMC Polska – organizatora spotkania.

Zapraszamy do udziału!

25 lis 2019

V Konferencja Ochrony Danych Osobowych – RODO i polskie przepisy uzupełniające

25 listopada 2019 r. w Warszawie odbędzie się piąta edycja dorocznej Konferencji Ochrony Danych Osobowych, której organizatorem jest Wydawnictwo C.H. Beck.

Wydarzenie poświęcone jest najbardziej aktualnym tematom ochrony danych osobowych po reformie ochrony danych osobowych tj. rozwiązaniom przewidzianym w ustawie z 21.02.2019 r.

Uczestnicy spotkania uzyskają odpowiedzi m. in. na następujące pytania:

  • jakie z uchwalonych 21.2.2019 r. zmian legislacyjnych powodują najważniejsze konsekwencje dla wykonania obowiązków ochrony danych osobowych?
  • jak prawidłowo ustalić podstawę prawną przetwarzania danych pracowników i osób rekrutowanych?
  • w jaki sposób prawidłowo komunikować się z osobami, których dane dotyczą w przypadku naruszenia ochrony danych ich danych oraz składania przez nie żądań realizujących uprawnienia określone w RODO?
  • jaki obowiązki ochrony danych osobowych spoczywają w związku z korzystaniem z serwisów społecznościowych?
  • w jaki sposób Prezes UODO korzysta ze swoich kompetencji władczych?
  • jak ustalają zakres stosowania RODO?

Z przyjemnością informujemy, że podczas konferencji swoje prelekcje wygłoszą nasi eksperci: adw. Xawery Konarski, adw. dr hab. Jan Byrski, adw. dr Grzegorz Sibiga, adw. Katarzyna Syska.

Szczegółowe informacje i program konferencji dostępne są na stronie organizatora.

14 lis 2019

Szkolenie: Zmiany prawne na rynku usług płatniczych

14 listopada 2019 r. w Warszawie odbędzie się szkolenie pt. „Zmiany prawne na rynku usług płatniczych – praktyczne aspekty stosowania ustaw implementujących Dyrektywę PSD 2 i AML 4”.

Celem szkolenia jest zapoznanie uczestników z zagadnieniami dotyczącymi najnowszych zmian prawnych na rynku usług płatniczych oraz umożliwienie nabycia wiedzy i umiejętności pozwalających na swobodne stosowanie aktualnych rozwiązań prawnych w codziennej praktyce.

Z przyjemnością informujemy, że spotkanie poprowadzą eksperci z kancelarii Traple Konarski Podrecki i Wspólnicy:

  • adw. dr hab. Jan Byrski, Partner – prelekcja: „Praktyczne aspekty wdrożenia PSD2 oraz zmiany dotyczące outsourcingu na rynku płatniczym”;
  • r. pr Karol Juraszczyk – prelekcja: „Uzyskanie statusu TPP oraz zasady świadczenia usług AIS/PIS z wykorzystaniem otwartych interfejsów komunikacyjnych dostawców prowadzących rachunki (ASPSP)’;
  • r. pr. Maciej Miąsko – prelekcja: „Silne uwierzytelnianie użytkowników (SCA) w świetle RTS, wytycznych EBA, KNF oraz praktyki rynkowej”;
  • apl. radc. Michał Synowiec – prelekcja: „Najnowsze trendy regulacyjne w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w tym rynek przed AML5”.

Organizatorami szkolenia są Traple Konarski Podrecki i Wspólnicy oraz Fundacja Rozwoju Obrotu Bezgotówkowego.

Więcej informacji:

Program (PDF): Folder FROB

Formularz rejestracyjny (PDF): Formularz FROB

14 lis 2019

Konferencja: Kontraktowanie usług IT i relacje z wykonawcą

W dniach 14-15 listopada 2019 r. w Warszawie odbędzie się konferencja pt. „Kontraktowanie usług IT i relacje z wykonawcą”, której organizatorem jest MMC Polska.

Podczas konferencji omówione zostaną zagadnienia związane z wyborem dostawców usług IT – na co zwrócić uwagę i czym się kierować przy wyborze kontrahenta. Prelegenci przedstawią także obowiązki w zakresie ochrony danych osobowych poszczególnych stron umowy IT oraz najczęstsze pułapki i błędy w praktyce zakupowej.

Prelegentami z ramienia Kancelarii Traple Konarski Podrecki i  Wspólnicy będą: adw. dr hab. Jan Byrski i r.pr. Agnieszka Wachowska, którzy omówią następujące zagadnienia:

  • adw. dr hab. Jan Byrski: „Outsourcing w świetle wytycznych EBA i wymagań KNF”;
  • r. pr. Agnieszka Wachowska: „Kary umowne i inne możliwe konsekwencje należytego wykonania umów IT – ujęcie praktyczne”.

Organizatorem wydarzenia jest MMC Polska.

Zapraszamy do udziału!

07 lis 2019

Szkolenie: Przetwarzanie danych o niekaralności w sektorze finansowym, nowe wymogi dla kandydatów na członków Zarządów, Rad Nadzorczych oraz kluczowych funkcji w banku

Zapraszamy do udziału w szkoleniu pt. „Przetwarzanie danych o niekaralności w sektorze finansowym, nowe wymogi dla kandydatów na członków Zarządów, Rad Nadzorczych oraz kluczowych funkcji w banku – analiza przepisów ustawy”.

Wydarzenie odbędzie się w dniu 7 listopada 2019 r. w Warszawie.

Szkolenie dotyczy nowych wymogów dla kandydatów na członków Zarządów, Rad Nadzorczych oraz kluczowych funkcji w bankach w związku z wejściem w życie ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz przetwarzanie danych o niekaralności w sektorze finansowym.

Z przyjemnością informujemy, że szkolenie poprowadzą eksperci naszej kancelarii adw. dr hab. Jan Byrski i adw. Henryk Hoser.

Szczegółowa informacja i zapisy na szkolenie dostępne są na stronie organizatora – CPI.

04 wrz 2019

Szkolenie: Praktyczne aspekty implementacji dyrektywy PSD2

W dniu 4 września 2019 r. w Warszawie odbędzie się szkolenie pt. „Praktyczne aspekty implementacji dyrektywy PSD2 w kontekście zmian regulacyjnych rynku usług płatniczych”, którego organizatorem jest  Centrum Promocji i Informatyki.

Celem szkolenia jest zapoznanie się z praktycznymi konsekwencjami zmian, jakie niesie za sobą implementacja do prawa polskiego dyrektywy PSD 2.

Z przyjemnością informujemy, że szkolenie poprowadzą nasi eksperci z zespołu FinTech:

  • dr. hab. Jan Byrski – prelekcje: „Wprowadzenie do ustawy o usługach płatniczych pod kątem implementacji PSD2” i „Modyfikacja katalogu wyłączeń stosowania przepisów ustawy o usługach płatniczych”;
  • Karol Juraszczyk – prelekcja: „Silne uwierzytelnianie użytkowników (SCA) oraz odpowiedzialność za transakcje nieautoryzowane”;
  • Michał Synowiec – prelekcja: „Zasady świadczenia nowych usług płatniczych (AIS/PIS) oraz notyfikacja incydentów na gruncie PSD2”.

Szczegółowe informacje na temat wydarzenia znajdą Państwo na stronie Centrum Promocji i Informatyki.

Zapraszamy do udziału!

27 cze 2019

Konferencja: RODO w instytucjach finansowych

Zapraszamy do udziału w konferencji pt. „RODO w instytucjach finansowych – pierwsze doświadczenia, interpretacje oraz nowe przepisy”, która odbędzie się w dniach 27-28 czerwca 2019 r. w Warszawie.

W maju upływa rok od kiedy rozpoczęły bezpośrednie stosowanie przepisy RODO. Mimo pewnego okresu obowiązywania Rozporządzenia, jego wykładnia stanowi nadal źródło wielu problemów interpretacyjnych. Ponadto, w kwietniu 2019 r. weszły w życie zmiany ustaw dostosowujących przepisy krajowe – w tym dotyczące sektora instytucji finansowych – do RODO, ze względu na podpisanie przez Prezydenta RP w dniu 4 kwietnia 2019 r. ustawy wprowadzającej te zmiany. Sektor finansowy jest branżą, dla której przetwarzanie danych osobowych stanowi kluczowy element zdecydowanej większości procesów biznesowych.

Problematyka konferencji zostanie przedstawiona z punktu widzenia prawodawcy odpowiadającego za przepisy dostosowujące do RODO (Ministerstwo Cyfryzacji), regulatora (Prezes Urzędu Ochrony Danych Osobowych), a także izb gospodarczych (Polska Izba Ubezpieczeń, Związek Banków Polskich). Wśród prelegentów znajdą się także prawnicy mający wieloletnie doświadczenie związane z ochroną danych osobowych.

Konferencję poprowadzą nasi eksperci – adw. Xawery Konarski i adw. dr hab. Jan Byrski, którzy wygłoszą również następujące prelekcje:

  • Wdrożenie RODO w sektorze finansowym – identyfikacja najważniejszych problemów prawnych;
  • Audyt powdrożeniowy RODO w instytucji finansowej – lista sprawdzająca.

Kancelaria Traple Konarski Podrecki i Wspólnicy jest partnerem merytorycznym konferencji.

Szczegółowe informacje o wydarzeniu znajdą Państwo na stronie Pulsu Biznesu.

19 mar 2019

VII Cashless Congress

VII edycja Cashless Congress odbędzie się w dniach 19-20 marca 2019 r. w Warszawie.

Cashless Congress (dawniej Międzynarodowy Kongres Płatności Bezgotówkowych) trwale wpisał się w kalendarz wydarzeń branży płatniczej, umożliwiając spotkanie i merytoryczną dyskusję wszystkich interesariuszy rynku. To wydarzenie poruszające sprawy mające wpływ na przyszłość rynku płatności bezgotówkowych. Eksperci z Polski, Unii Europejskiej i świata w trakcie sesji panelowych i specjalistycznych prezentacji przybliżają słuchaczom najważniejsze zagadnienia branżowe.

Podobnie jak w poprzednich latach, Kancelarię Traple Konarski Podrecki i Wspólnicy podczas spotkania reprezentował będzie adw. dr hab. Jan Byrski.

Organizatorem Cashless Congress jest Fundacja Rozwoju Obrotu Bezgotówkowego (FROB).

25 lut 2019

Ryzyko outsourcingu bankowego w obszarze zmian regulacyjnych i wyzwań biznesowych

W dniu 25-26.02.2019 r. odbędzie się szkolenie pt. “Ryzyko outsourcingu bankowego w obszarze zmian regulacyjnych i wyzwań biznesowych”.

Pierwszego dnia spotkania adw. dr. hab. Jan Byrski  zaprezentuje temat „Zakończenie współpracy z usługodawcą – następstwa, aspekty prawne, kwestie odpowiedzialności”.

Więcej informacji na temat szkolenia znajdą Państwo na stronie organizatora – MM Conferences.

Zapraszamy do udziału!

14 sty 2019

Konferencja: RODO w marketingu – pierwsze doświadczenia i interpretacje

W dniu 25 maja 2018 roku weszła w życie regulacja RODO, stanowiąca największą od lat trudność w implementacji  i jednocześnie błędnych interpretacji. Marketing stanowi jeden z kluczowych obszarów, gdzie stykamy się z danymi osobowymi na szeroką skalę.

Podczas Konferencji pt. „RODO w marketingu – pierwsze doświadczenia i interpretacje”  przedstawiony zostanie przebieg i efekt pierwszych postępowań kontrolnych, sankcje na gruncie RODO, pierwsze doświadczenia i interpretacje. Spotkanie odbędzie się w dniach 14-15 stycznia 2019 r. w Warszawie.

Pierwszego dnia Konferencji eksperci Kancelarii poprowadzą następujące wykłady:

  • RODO w marketingu – największe kontrowersje w stosowaniu przepisów – adw. Xawery Konarski,
  • Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie – regulacje prawne – adw. dr hab. Jan Byrski,
  • Realizacja żądań podmiotu danych w marketingowym przetwarzaniu danych – adw. dr Grzegorz Sibiga.

Organizatorem wydarzenia jest Puls Biznesu. Kancelaria Traple Konarski Podrecki i Wspólnicy jest partnerem merytorycznym Konferencji.

11 gru 2018

Konferencja: Central European Digital Payments – Warsaw 2018

W dniach 11-12 grudnia 2018 r. w Warszawie odbędzie się XI edycja Konferencji Central European Digital Payments. Tematem wiodącym tegorocznego wydarzenia będą Technologie Płatności 2020+.

Konferencja znana  wcześniej jako Karta, następnie CEEC, a od zeszłego roku CEDP, to nadal  jedno z najważniejszych w naszym kraju corocznych spotkań szeroko rozumianej branży nowoczesnych płatności z Polski i Europy Centralnej.

Podczas wydarzenia adw. dr hab. Jan Byrski wygłosi prelekcję pt. „Pobieranie opłaty surcharge na podstawie znowelizowanych przepisów ustawy o usługach płatniczych implementujących dyrektywę PSD 2”.

Więcej informacji na temat wydarzenia dostępnych jest na stronie: http://www.conkarta.pl/.

04 gru 2018

I Kongres Inspektorów Ochrony Danych

I Kongres Inspektorów Ochrony Danych Osobowych odbędzie się w dniach 4-5 grudnia 2018 r. w Hotelu Sielanka nad Pilicą w Warce.

Kongres IOD jest kontynuacją organizowanego od 1999 r. Kongresu ABI. Do 2018 r. odbyły się 22 Kongresy, podczas których odbywały się dyskusje na temat najważniejszych bieżących i praktycznych problemów realizacji zadań i obowiązków ochrony danych osobowych. I Kongres IOD poświęcony będzie weryfikacji wdrożenia przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Organizatorem spotkania jest ENSI. W wydarzeniu udział wezmą nasi eksperci: adw. Xawery Konarski, adw. dr hab. Jan Byrski, adw. dr Grzegorz Sibiga, adw. Katarzyna Syska.

Kancelaria Traple Konarski Podrecki i Wspólnicy jest partnerem Kongresu.

Więcej informacji na temat wydarzenia oraz program znajdą Państwo na stronie organizatora.

18 wrz 2018

Warsztaty: Implementacja PSD2 na tle obowiązków wynikających z RODO

W dniu 18 września 2018 r. w Warszawie odbędą się warsztaty pt. „Implementacja PSD2 na tle obowiązków wynikających z RODO”.

Celem spotkania jest omówienie najważniejszych zmian jakie wprowadza ustawa implementująca tzw. dyrektywę PSD2 do polskiego porządku prawnego. Ustawa w znacznym stopniu zmienia kształt rynku usług płatniczych, a tym samym w sposób istotny wpływa na działalność dostawców usług płatniczych (banków, instytucji płatniczych, agentów rozliczeniowych itd.), wprowadzając m.in. nowe typy usług płatniczych, kategorie dostawców oraz nowe obowiązki w zakresie zapewnienia bezpieczeństwa płatności. Zmiany wynikające z nowych przepisów zostaną omówione w kontekście wymogów wynikających z RODO, przez co ujęcie omawianej tematyki będzie miało charakter kompleksowy.

Warsztaty poprowadzą nasi eksperci: adw. dr Jan Byrski i r.pr. Maciej Miąsko.

Organizatorem wydarzenia jest Centrum Promocji Informatyki.

10 wrz 2018

Warsztaty: Bank vs Klient – Odpowiedzialność stron w bankowości elektronicznej

Zapraszamy do udziału w warsztatach pt. „Bank vs Klient – Odpowiedzialność stron w bankowości elektronicznej”, które odbędą się w dniach 10-11 września 2018 w The Westin Warsaw Hotel.

Pierwszego dnia spotkania adw. dr Jan Byrski, Szef zespołu FinTech, zaprezentuje temat „RODO vs PSD II – problemy z jednolitym formułowaniem obowiązków informacyjnych względem klienta”.

Więcej informacji na temat wydarzenia znajdą Państwo na stronie organizatora – MM Conferences.

19 kw. 2018

Szkolenie: Implementacja dyrektywy PSD2 – kluczowe zmiany dla dostawców usług płatniczych

Instytut Szkoleń Prawa Bankowego zaprasza na szkolenie pt. „Implementacja dyrektywy PSD2 – kluczowe zmiany dla dostawców usług płatniczych”, które odbędzie się w dniu 19 kwietnia 2018 r. w Hotelu Mercure Centrum w Warszawie.

Spotkanie obejmie zagadnienia związane ze zmianami w zakresie zasad świadczenia usług płatniczych wprowadzanymi przez dyrektywę PSD2. Szczególna uwaga poświęcona zostanie kwestiom operacyjnym związanym z koniecznością dostosowania działalności do zmian w zasadach świadczenia usług płatniczych oraz na przedstawieniu szans i zagrożeń. Wskazane zostaną także główne obszary decyzyjne i możliwe warianty postępowania w związku ze zmianą środowiska regulacyjnego po implementacji PSD2.

Szkolenie poprowadzą nasi eksperci – adw. dr Jan Byrski i r. pr. Karol Juraszczyk.

12 kw. 2018

Warsztaty: Dostosowanie działalności branży telekomunikacyjnej do wymogów ustawy implementującej PSD2

W dniu 12 kwietnia 2018 r. odbędą się warsztaty pt. „Dostosowanie działalności branży telekomunikacyjnej do wymogów ustawy implementującej PSD2”.

Przedsiębiorcy telekomunikacyjni byli zobowiązani do przygotowania się na nowe przepisy wprowadzane przez Dyrektywę PSD2 do 13 stycznia 2018 r.  Obecnie trwają już końcowe prace nad ustawą implementującą dyrektywę PSD2 do prawa polskiego.
Udział w szkoleniu pozwoli uczestnikom na szczegółowe zapoznanie się z obowiązkami nakładanymi przez Dyrektywę PSD 2 na operatorów telefonii komórkowych.

Spotkanie poprowadzą nasi eksperci – adw. dr Jan Byrski, r.pr. Maciej Miąsko i r.pr. Karol Juraszczyk.

Organizatorem wydarzenia jest MM Conferences.

20 mar 2018

VI edycja Cashless Congress

W dniach 20-21 marca 2018 r. w Warszawie odbędzie się VI edycja Cashless Congress (dotychczas Międzynarodowy Kongres Płatności Bezgotówkowych).

Cashless Congress porusza sprawy mające wpływ na przyszłość rynku płatności bezgotówkowych. Eksperci z Polski, Unii Europejskiej i świata w trakcie sesji panelowych i specjalistycznych prezentacji przybliżają słuchaczom najważniejsze zagadnienia branżowe, zapraszając słuchaczy do wspólnej dyskusji. Jednym z punktów Kongresu, będzie uroczystość wręczenia eDukatów 2018.

Podczas spotkania adw. dr Jan Byrski wygłosi prelekcję pt. „Wyzwania prawne w 2018 roku na rynku usług płatniczych”, a także będzie moderatorem panelu pn. „Wyzwania prawne w 2018 roku na rynku usług płatniczych – z perspektywy różnych interesariuszy”.

Organizatorem Cashless Congress jest Fundacja Rozwoju Obrotu Bezgotówkowego (FROB).

Więcej informacji o wydarzeniu znajdą Państwo na stronie: http://www.cashlesscongress.pl/

08 lut 2018

Seminarium: Nowe obowiązki instytucji finansowych przewidziane w ogólnym rozporządzeniu o ochronie danych (RODO)

W dniu 8 lutego 2018 r. w Warszawie odbędzie się seminarium pt. „Nowe obowiązki instytucji finansowych  przewidziane w ogólnym rozporządzeniu  o ochronie danych (RODO)”.

Celem seminarium jest omówienie regulacji wprowadzonych Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych („RODO”), którego przepisy zaczną obowiązywać od 25 maja 2018 r.

Spotkanie poprowadzą eksperci z Kancelarii Traple Konarski Podrecki i Wspólnicy – adw. dr Jan Byrski i r.pr. Karol Jurasczyk.

Organizatorem wydarzenia jest Instytut Szkoleń Prawa Bankowego.

25 sty 2018

Szkolenie: RODO w branży ubezpieczeniowej

Ogólne rozporządzenie o ochronie danych (RODO) znacząco zmieni zasady zbierania i dalszego przetwarzania danych osobowych także przez podmioty rynku ubezpieczeniowego, takie jak: Zakłady ubezpieczeń, pośrednicy ubezpieczeniowi, podmioty outsourcingowe etc.

O tym, w jaki sposób przygotować się do tych zmian opowie podczas szkolenia pt. „RODO w branży ubezpieczeniowej” adw. dr Jan Byrski. Spotkanie odbędzie się w dniu 25 stycznia 2018 r. w Warszawie.

Zapraszamy do udziału.

18 sty 2018

Szkolenie: RODO w działalności dostawców usług płatniczych

Cykl szkoleń Rozporządzenie o Ochronie Danych Osobowych (RODO) – rewolucja od 25 maja 2018 r., to seria unikatowych, branżowych szkoleń poświęconych nowemu europejskiemu prawu ochrony danych osobowych.

Celem szkolenia pt. „RODO w działalności dostawców usług płatniczych” jest przekazanie uczestnikom funkcjonującym zarówno po stronie dostawców usług płatniczy, jak i partnerów outsourcingowych wiedzy i umiejętności wymaganych do wdrożenia przepisów RODO w praktyce.

Prowadzący – adw. dr Jan Byrski przedstawi najważniejsze nowości prawne, a także zaprezentuje case study typowych przypadków związanych z działalnością dostawców usług płatniczych.

Kancelaria Traple Konarski Podrecki i Wspólnicy jest partnerem szkolenia.

Organizatorem spotkania jest Centrum Promocji Informatyki.

12 gru 2017

Konferencja Central European Digital Payments Warsaw 2017

W dniach 12-13 grudnia 2017 r. w Warszawie odbędzie się Konferencja Central European Digital Payments Warsaw 2017.

Konferencja jest najważniejszym corocznym spotkaniem szeroko rozumianej branży nowoczesnych płatności z Polski i Europy Centralnej. Podczas dwudniowych obrad  ponad 300 gości z kraju i zagranicy ma okazję zapoznać się z kilkudziesięcioma specjalistycznymi prezentacjami.

Z przyjemnością informujemy, że w gronie prelegentów spotkania znalazł się adw. dr Jan Byrski.

11 gru 2017

Warsztaty: Sektor finansowy w obliczu wyzwań stawianych przez RODO – doświadczenia rynku, proponowane rozwiązania

W dniach 11-12 grudnia 2017 r. w The Westin Warsaw Hotel odbędą się warsztaty pt. „Sektor finansowy w obliczu wyzwań stawianych przez RODO – doświadczenia rynku, proponowane rozwiązania”, podczas którego adw. dr Jan Byrski poprowadzi prelekcję zatytułowaną „Zmiany w dokumentacji instytucji finansowej w związku z wdrożeniem RODO”.

Poruszone zagadnienia w szczególności dotyczyć będą:

  • zmiany umów powierzenia przetwarzania danych i innych umów związanych z udostępnieniem danych osobowych
  • nowych elementów klauzul informacyjnych i ich zakresu – wymagania zgody na przetwarzanie danych a obowiązek informacyjny
  • problematyki łączenia zgód na różne cele przetwarzania danych osobowych
  • rejestru czynności przetwarzania danych osobowych

Więcej informacji na temat wydarzenia znaleźć można na stronie organizatora – MM Conferences.

19 paź 2017

Warsztaty: Ustawa o przeciwdziałaniu praniu pieniędzy – wyzwania proceduralne i prawne

Adwokat dr Jan Byrski i radca prawny Maciej Miąsko wystąpią podczas warsztatu „Ustawa o przeciwdziałaniu praniu pieniędzy – wyzwania proceduralne i prawne”. Spotkanie odbędzie się w dniach 19-20 października 2017 r. w Warszawie.

Eksperci Kancelarii Traple Konarski Podrecki i Wspólnicy wygłoszą prelekcję pt. „Nowe zasady stosowania środków bezpieczeństwa finansowego”.

Organizatorem szkolenia jest MM Conferences.

27 wrz 2017

Warsztaty: Nowe zasady kontroli GIODO – wyzwania prawne i organizacyjne

W dniach 27-28 września 2017 r. w Warszawie odbędą się warsztaty pt. Nowe zasady kontroli GIODO – wyzwania prawne i organizacyjne.

Podczas spotkania adw. dr Jan Byrski wygłosi prelekcję „RODO a nowy projekt polskiej ustawy o Ochronie Danych Osobowych –zakres podmiotowy i przedmiotowy regulacji”

Organizatorem dwudniowych warsztatów jest MM Conferences.

27 wrz 2017

Szkolenie: Wykrywanie i prewencja nadużyć

Ogrom zmian prawnych pojawiających się w ostatnim czasie znacząco wpływa na funkcjonowanie firm na rynku. Dla osób zajmujących stanowiska związanie z przeciwdziałaniem nadużyciom szczególnie istotna jest aktualizacja i prawidłowa interpretacja zmian prawnych, regulacji i rozporządzeń.

Warsztat adresowany jest w szczególności do Dyrektorów i Managerów ds. AML, Compliance, Zarządzania Ryzykiem, Zapewnienia Zgodności, a także Managerów Działów Prawnych, Członków Zarządu oraz wszystkich osób zainteresowanych tematyką wykrywania i prewencji nadużyć.

Podczas warsztatów adw. Xawery Konarski i adw. dr Jan Byrski wygłoszą prelekcję pt. „Nowe regulacje dotyczące ochrony danych osobowych w procesie przeciwdziałania praniu pieniędzy”.

Organizatorem spotkania jest RE Conferences.

21 wrz 2017

Konferencja: Dyrektywa PSD 2 – kluczowe zmiany na rynku usług płatniczych

W dniach 21-22 września 2017 r. w Warszawie odbędzie się konferencja pn. „Dyrektywa PSD 2 – kluczowe zmiany na rynku usług płatniczych”.

Pierwszego dnia wydarzenia eksperci z kancelarii Traple Konarski Podrecki i Wspólnicy zaprezentują następujące tematy:

  • Mała instytucja Płatnicza i inne implementowane z PSD 2 opcje narodowe – adw. dr Jan Byrski;
  • Silne uwierzytelnianie użytkowników oraz inne ważne zmiany w projekcie implementacji PSD 2 – r. pr. Karol Juraszczyk;
  • Nowe usługi płatnicze i zmiany w zakresie odpowiedzialności za transakcje nieautoryzowane  w projekcie implementacji PSD 2 – r. pr. Maciej Miąsko.

Organizatorem spotkania jest Puls Biznesu.

13 wrz 2017

Warsztaty: Schematy i rachunki płatnicze w świetle nowych regulacji

W dniach 13-14 września 2017 r. w Warszawie odbędą się warsztaty pn. „Schematy i rachunki płatnicze w świetle nowych regulacji”.

Podczas spotkania poruszone zostaną m. in. zagadnienia:

  • Jakie zagrożenia może generować dostęp TPP do rachunku bankowego,
  • Czy wdrożenie dyrektywy PAD może okazać się problematyczne,
  • Jakie kluczowe regulacje RODO odnoszą się do rachunku płatniczego,
  • Z czym dla sektora bankowego wiążą się zmiany opłat interchange.

Drugiego dnia eksperci z kancelarii Traple Konarski Podrecki i Wspólnicy wygłoszą następujące prelekcje:

  • „Schematy płatnicze – zasady funkcjonowania w praktyce, niedozwolone ograniczenia” – adw. dr Jan Byrski,
  • „Brak autoryzacji w transakcjach płatniczych” – r. pr. Karol Juraszczyk.

Organizatorem warsztatów jest MM Conferences.

26 cze 2017

Warsztaty: Rynek Usług Płatniczych w świetle Dyrektywy PSDII

W dniach 26-27 czerwca 2017 r. eksperci z kancelarii Traple Konarski Podrecki i Wspólnicy będą prelegentami podczas warsztatów pn. Rynek Usług Płatniczych w świetle Dyrektywy PSDII.
Wśród poruszanych tematów pojawią się następujące prelekcje naszych prawników:
  • Działalność TPP a nowe obowiązki dostawców usług płatniczych w Dyrektywie PSDII – r. pr. Maciej Miąsko;
  • Nowe kategorie dostawców usług płatniczych – Mała Instytucja Płatnicza – adw. dr Jan Byrski.

Organizatorem spotkania jest MM Conferences.

27 kw. 2017

XXI KONGRES ABI

XXI Kongres ABI odbędzie się w dniach 27 – 28 kwietnia 2017 r., w Pałacu Odrowążów, w Chlewiskach.

Tematem przewodnim spotkania będą przygotowanie do pełnienia funkcji inspektora ochrony danych oraz przygotowanie do wdrożenia i stosowania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Organizatorem wydarzenia jest ENSI. Kancelaria Traple Konarski Podrecki i Wspólnicy jest partnerem Kongresu.

XXI KONGRES ABI – Informacja i agenda

20 kw. 2017

Warsztaty: Implementacja RODO – wyzwania procesowe i strukturalne

W dniach 20 i 21 kwietnia 2017 r. w Warszawie odbędą się warsztaty pn. „Implementacja RODO – wyzwania procesowe i strukturalne”.

Podczas drugiego dnia spotkania eksperci z naszej kancelarii omówią następujące kwestie:

  • „Profilowanie danych osobowych w RODO – aktualne wyzwania prawne” – adw. Xawery Konarski,
  • „Zarządzanie odpowiedzialnością prawną – wdrażanie i rozliczanie przez administratorów odpowiednich zasad ochrony danych osobowych” – adw. dr Grzegorz Sibiga,
  • „Środki ochrony prawnej osób, których dane dotyczą – zakres odpowiedzialności i  sankcyjność” – adw. dr Jan Byrski.

Organizatorem wydarzenia jest MM Conferences.

08 kw. 2017

Warsztaty: Rachunki podstawowe i schematy płatnicze w świetle najnowszych regulacji

W dniach 8-9 maja 2017 r. w Warszawie odbędą się warsztaty pn. Rachunki podstawowe i schematy płatnicze w świetle najnowszych regulacji.

W dniu 8.02.2017 r. weszła w życie nowelizacja ustawy o usługach płatniczych, nakładająca na dostawców usług płatniczych obowiązek oferowania usługi rachunku podstawowego oraz usługi przenoszenia rachunku. Ustawa nowelizująca wprowadza 18-miesięczny okres od dnia wejścia w życie ustawy na dostosowanie się dostawców do nowych przepisów. Nowelizacja ustawy o usługach płatniczych ma implementować do polskiego porządku prawnego dyrektywę PAD oraz dostosować ustawodawstwo do rozporządzenia interchange. Obok wdrażania regulacji unijnych nowe przepisy wprowadzają kolejny rodzaj działalności regulowanej podmioty prowadzące schematy płatnicze będą musiały uzyskać zgodę Prezesa NBP.

Drugiego dnia spotkania adw. dr Jan Byrski wygłosi prelekcję pt. „Opłaty interchange w świetle najnowszych zmian”.

Organizatorem wydarzenia jest MM Conferences.

21 mar 2017

V Międzynarodowy Kongres Płatności Bezgotówkowych

Piąta edycja Międzynarodowego Kongresu Płatności Bezgotówkowych odbędzie się w dniach 21-22 marca 2017 r. w Warszawie. Hasłem przewodnim tegorocznego spotkania będzie „Nowy ład bezgotówkowy. 50 lat kart płatniczych w Polsce”.

W trakcie obrad tegorocznego Kongresu poruszone zostaną najistotniejsze z bieżących tematów – zarówno w prezentacjach, jak i w sesjach panelowych, w których będą uczestniczyć eksperci z Polski i Unii Europejskiej.

Moderatorem panelu  nr 4 pierwszego dnia będzie adw. dr Jan Byrski.

Organizatorem V Międzynarodowego Kongresu Płatności Bezgotówkowych jest Fundacja Rozwoju Obrotu Bezgotówkowego (FROB). Kancelaria Traple Konarski Podrecki i Wspólnicy jest Partnerem Honorowym wydarzenia.

07 gru 2016

IX Konferencja Central European Electronic Card – Warsaw 2016

IX Konferencja Central European Electronic Card – Warsaw 2016 odbędzie się w dniach 7-8 grudnia 2016 r. w Hotelu Novotel Warszawa Centrum.

CEEC jest najważniejszym corocznym spotkaniem szeroko rozumianej branży kartowej z Polski i Europy Centralnej. Konferencja Central European Electronic Card Warsaw to  miejsce, w którym spotykają się corocznie przedstawiciele instytucji i firm najważniejszych dla rozwoju nie tylko biznesu kartowego w Polsce i Europie.Tematyka konferencji bazuje przede wszystkim na obiektywnie interesujących opisach przypadków w autorskim wykonaniu ich realizatorów i dotyczy najbardziej aktualnych tematów dla rynku kartowego oraz nowoczesnych płatności w Polsce i Europie.

Drugiego dnia Konferencji adw. dr Jan Byrski weźmie udział w sesji specjalistycznej „Polskie i europejskie regulacje prawne a rozwój nowoczesnych metod płatności” i omówi temat „Outsourcing bankowy technologii informatycznych (IT) – najnowsze regulacje i stanowiska organów nadzoru”.

26 paź 2016

Warsztaty: Problematyczne aspekty bezpieczeństwa transakcji elektronicznych w świetle najnowszych regulacji

W dniach 26-27 października 2016 roku w Warszawie odbędą się warsztaty pt. „Problematyczne aspekty bezpieczeństwa transakcji elektronicznych w świetle najnowszych regulacji”.

Prelegentami z ramienia Kancelarii Traple Konarski Podrecki i  Wspólnicy będą: adw. dr Jan Byrski, Agata Marcinkowska oraz r.pr. Leszek Sytniewski, którzy wystąpią z poniższymi tematami:

  • Agata Marcinkowska: „Odpowiedzialność poszczególnych stron w kontekście bezpieczeństwa transakcji elektronicznych”,
  • dr Jan Byrski, Leszek Sytniewski: „Bezpieczeństwo płatności elektronicznych w świetle nowych regulacji dotyczących ochrony danych osobowych”.

Organizatorem wydarzenia jest MMC Polska.

25 paź 2016

V Kongres eHandlu

W dniu 25 października 2016 r. na terenie Międzynarodowego Centrum Kongresowego w Katowicach odbędzie się V Kongres eHandlu. Podczas Kongresu swoją prelekcję pt. „E-commerce – najnowsze regulacje, czyli jak to się robi okiem prawnika” wygłoszą adw. dr Jan Byrski i r. pr. Leszek Sytniewski.

Organizatorem wydarzenia jest Fundacja Polak 2.0.

20 paź 2016

Konferencja Ochrony Danych Osobowych. Nowe rozwiązania wprowadzone ogólnym rozporządzeniem o ochronie danych w UE

W dniu 20 października 2016 r. w Warszawie odbędzie się „Konferencja Ochrony Danych Osobowych. Nowe rozwiązania wprowadzone ogólnym rozporządzeniem o ochronie danych w UE”. Organizatorem wydarzenia jest Wydawnictwo C. H. Beck.

Celem konferencji jest przedstawienie i omówienie nowych rozwiązań, podzielonych tematycznie na trzy części dotyczące uprawnień podmiotu danych, obowiązków administratora danych (przetwarzającego) oraz kompetencji organów nadzorczych i procedur w jakich są one wykonywane.

Na konferencji kancelarię Traple Konarski Podrecki i Wspólnicy reprezentować będą: adw. Xawery Konarski, adw. dr Jan Byrski oraz adw. dr Grzegorz Sibiga.

13 paź 2016

Seminarium: Nowe obowiązki banków wprowadzone ogólnym rozporządzeniem o ochronie danych (RODO)

13 października 2016 r. w Warszawie, adw. Xawery Konarski i adw. dr Jan Byrski poprowadzą seminarium „Nowe obowiązki banków wprowadzone ogólnym rozporządzeniem o ochronie danych (RODO)”.

W dniu 24 maja 2016 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwane dalej „RODO”). Jego przepisy zaczną obowiązywać od 25 maja 2018 r., chociaż już teraz niektóre kwestie mają wpływ na przetwarzanie danych osobowych w 2018 r. (m.in. zbieranie obecnie zgód odpowiadających RODO).

Zapraszamy do udziału. Szczegółowa informacja o wydarzeniu dostępna jest na stronie organizatora – Instytutu Szkoleń Prawa Bankowego.

10 paź 2016

Warsztaty: Nowe regulacje w zakresie ochrony danych osobowych w sektorze finansowym

W dniach 10-11 października 2016 r. w Warszawie odbędą się warsztaty zatytułowane „Nowe regulacje w zakresie ochrony danych osobowych w sektorze finansowym”.

Rozporządzenie o Ochronie Danych Osobowych wchodzi w życie z dniem 25 maja 2018 roku, jednakże instytucje finansowe już od kilku miesięcy powinny energicznie przygotowywać się do wdrażania nowych przepisów. Co prawda data wejścia w życie regulacji wydaje się odległa, ale skala zmian jakie pojawią się w przyszłości już wywołuje lawinę pytań i wątpliwości.

Podczas warsztatów, prowadzący odpowiedzą m. in. na pytania: jak odnaleźć się w nowych przepisach? Jakie kroki poczynić by przyśpieszyć proces dostosowania instytucji finansowych w ramach nowych przepisów? Jak rzetelnie zabezpieczać dane osobowe klientów?

Eksperci z kancelarii Traple Konarski Podrecki i Wspólnicy omówią następujące kwestie:

  • „Zakres stosowania ogólnego rozporządzenia o ochronie danych do instytucji finansowych” (10.10) – adw. dr Grzegorz Sibiga;
  • „Outsourcing przetwarzania danych osobowych w regulacjach sektorowych Instytucji Finansowych oraz w RODO” (10.10) – adw. dr Jan Byrski;
  • „Nowe zasady profilowania danych w RODO” (11.10) – adw. Xawery Konarski.

Zapraszamy do udziału. Szczegóły dotyczące wydarzenia dostępne są na stronie organizatora – MM Conferences.

28 wrz 2016

V Kongres Regulacji Rynków Finansowych FinReg 2016

W dniach 28-30 września 2016 r. odbędzie się V Kongres Regulacji Rynków Finansowych FinReg 2016.

Specjalistyczny Polski Kongres Regulacji Rynków Finansowych – FinReg organizowany przez Instytut Allerhanda od 2011 roku, pod patronatem głównych instytucji tworzących sieć bezpieczeństwa finansowego, a obecnie Komitet Stabilności Finansowej, stanowi największą debatę dedykowaną dylematom regulacji funkcjonowania rynków finansowych w Polsce.

Tegoroczne spotkanie ekspertów i praktyków regulacji rynków finansowych będzie zogniskowane na problemach zmian w systemie nadzoru spowodowanym m.in. implementacją przepisów umożliwiających przymusową restrukturyzację banków, nadzorem makro stabilnościowym, zyskującą na znaczeniu funkcją compliance, problemem regulacji innowacji techno-finansowych (fintech) oraz sukcesją w Komisji Nadzoru Finansowego.

Miło nam poinformować, że wśród tegorocznych prelegentów pojawią się eksperci z kancelarii Traple Konarski Podrecki i Wspólnicy – adw. dr Jan Byrski i r. pr. Leszek Sytniewski, którzy omówią kwestię wpływu rozporządzenia ogólnego w sprawie ochrony danych osobowych na instytucje finansowe.

Szczegółowe informacje na temat wydarzenia dostępne na stronie: www.FinReg.allerhand.pl

26 wrz 2016

Seminarium: Unijne rozporządzenie o ochronie danych osobowych (RODO) – compliance w branży ubezpieczeniowej

Zapraszamy do udziału w seminarium pt. „Unijne rozporządzenie o ochronie danych osobowych (RODO)  – compliance w branży ubezpieczeniowej”, które odbędzie się 26 września 2016 r.

W dniu 24 maja 2016 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwane dalej „RODO”). Jego przepisy zaczną obowiązywać od 25 maja 2018 r. Z tym też dniem uchylone zostaną przepisy ustawy o ochronie danych osobowych.

Podczas seminarium adw. Xawery Konarski i adw. dr Jan Byrski omówią następujące zagadnienia:

  • Dane spseudonimizowane jako nowy rodzaj danych osobowych
  • Nowe ujęcie relacji administrator – processor
  • Nowe prawa podmiotów danych i sposoby ich spełnienia
  • Nowe zasady dopuszczalnego profilowania danych osobowych
  • Nowe podejście do zapewnienia wymogów bezpieczeństwa danych osobowych
  • Wpływ rodo na budowę i eksploatację systemów (aplikacji) it
  • Mechanizmy compliance określone w rodo
  • Sankcje administracyjne i cywilnoprawne

Organizatorem wydarzenia jest Insurance Meeting Point (IMP).

19 wrz 2016

Warsztaty: Problematyka Usług Płatniczych w branży telekomunikacyjnej

W dniach 19-20 września 2016 r. odbędą się warsztaty organizowane przez MM Conferences pod nazwą „Problematyka Usług Płatniczych w branży telekomunikacyjnej”.

Pierwszego dnia wydarzenia adw. dr Jan Byrski omówi kwestię nadzoru KNF nad dostawcami usług płatniczych prowadzących działalność telekomunikacyjną.

Ponadto poruszone zostaną następujące zagadnienia:

  • Problematyka Dyrektywy PSD II w branży telekomunikacyjnej- wprowadzenie
  • Nadzór KNF nad dostawcami usług płatniczych prowadzących działalność telekomunikacyjną
  • Działalność TPP a nowe obowiązki dostawców usług płatniczych w świetle Dyrektywy PSDII
  • Bezpieczeństwo płatności elektronicznych w świetle dyrektywy PSD II i rekomendacji KNF w branży telekomunikacyjnej
  • Bezpieczeństwo danych klienta w transakcjach elektronicznych
  • Warunki do rozwoju płatności mobilnych w PSDII branża telekomunikacyjna
06 cze 2016

Warsztat: Nowe ramy prawne ochrony danych osobowych – obowiązki i wyzwania dla przedsiębiorców

W dniach 6-7 czerwca 2016 r. w Warszawie odbędzie warsztat pt. „Nowe ramy prawne ochrony danych osobowych – obowiązki i wyzwania dla przedsiębiorców”, którego organizatorem jest MM Conferences.

Pierwszego dnia wydarzenia swoje prelekcje wygłoszą adw. Xawery Konarski  („Nowe zasady profilowania”) oraz adw. dr Jan Byrski („Założenia i zakres oddziaływania unijnego Rozporządzenia o Ochronie Danych Osobowych”).

Omówione zostaną także następujące zagadnienia:

  • Nowe wymogi przetwarzania danych osobowych
  • Status i rola Data Protection Officer’a – następcy Administratora Bezpieczeństwa Informacji
  • Formy współpracy z Administratorem Bezpieczeństwa Informacji – jak i w jakiej formie nawiązać współpracę z ABI-m?
  • Notyfikacja incydentów – możliwości naruszenia ochrony danych
  • Zasady privacy by defaulti privacy by design – wpływ przetwarzania danych na prywatność podmiotów
  • Regulacje dotyczące przenoszenia danych w ramach cloud computingu
  • Przekazywanie danych osobowych do państw trzecich w kontekście nowych regulacji
  • Rola i stanowisko GIODO w zakresie wdrażania nowych przepisów

Szczegółowy program wydarzenia dostępny jest na stronie MM Conferences.

23 maj 2016

Seminarium: Nowe zasady przetwarzania danych przez podmioty ubezpieczeniowe – przepisy i praktyka

W drugiej połowie 2015 r. przyjęte zostały dwa akty prawne, które wyznaczają nowe zasady przetwarzania danych przez podmioty ubezpieczeniowe.

Na poziomie krajowym, w dniu 11 września 2015 r. uchwalona została ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Jej przepisy w istotnej części modyfikują dotychczasowe reguły dotyczące przetwarzania informacji objętych tajemnicą ubezpieczeniową. Wprowadzają również nowe warunki dotyczące outsourcingu ubezpieczeniowego, co ma między innymi wpływ na dopuszczalność przetwarzania danych w modelu chmury obliczeniowej.

Na poziomie unijnym w dniu 18 grudnia 2015 r. w ramach tzw. trilogu przyjęta została ostateczna treść projektu ogólnego Rozporządzenia w sprawie ochrony danych osobowych (RODO). Przepisy te m.in. wprowadzają nowe zasady przetwarzania danych w celach marketingowych. Szczególne znaczenie odgrywają przy tym warunki zgodnego z prawem profilowania, w tym na potrzeby realizacji projektów BIG DATA.

Powyższą problematykę przedstawią podczas seminarium adw. Xawery Konarski i adw. dr Jan Byrski z kancelarii Traple Konarski Podrecki i Wspólnicy.

Program wydarzenia dostępny jest na stronie Insurance Meeting Point.

04 kw. 2016

Warsztaty: Outsourcing bankowy – organizacja, zarządzanie i kontrola czynności powierzonych

W dniach 4-5 kwietnia 2016 r., w Centrum Konferencyjnym Golden Floor w Warszawie, odbędą się warsztaty zatytułowane „Outsourcing bankowy – organizacja, zarządzanie i kontrola czynności powierzonych”. Głównymi zagadnieniami, które zostaną poruszone podczas tego wydarzenia będą:

  • Regulacje prawne dotyczące outsourcingu bankowego
  • Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych
  • Proces zarządzania współpracą z dostawcami usług outsourcingowych
  • Ryzyko outsourcingu i podoutsourcingu w systemie zarządzania ryzykiem banku
  • Outsourcing awaryjny – metody sporządzania planów awaryjnych
  • Ekonomia i koszty outsourcingu

Przedstawicielami kancelarii Traple Konarski Podrecki i Wspólnicy podczas konferencji będą adw. Xawery Konarski oraz adw. dr Jan Byrski.

Szczegółowe informacje znaleźć można w broszurze wydanej przez organizatora MM Conferences.

Blog 13
22 paź 2019

Co dla sektora finansowego oznacza dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii

W dniu 7 października 2019 r. Rada Unii Europejskiej przyjęła dyrektywę w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii (dalej: „Dyrektywa”), która stanowi nie tylko punkt zwrotny w kwestii ochrony tzw. sygnalistów (ang. whistleblowers), ale także kolejne źródło obowiązków nałożonych na przedsiębiorców.

Ochrona sygnalistów od lat stanowi przedmiot bardziej lub mniej wzmożonej debaty na temat zakresu i kształtu regulacji prawnej, która ma to zjawisko opisywać. Niezależnie od punktu widzenia wydaje się, że stworzenie przemyślanych ram dla jej funkcjonowania jest wysoce pożądane z perspektywy interesu tak przedsiębiorców, jak i samych osób, którzy zgłaszają naruszenia w dobrej wierze.

Jakie regulacje dotyczące sygnalistów obowiązywały w Polsce dotychczas

Do momentu wejścia w życie ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „uAML”) ochrona sygnalistów nie była przedmiotem właściwie żadnej regulacji w polskim porządku prawnym[1]. Pomijając działania Prezesa UOKiK nakierowane na popularyzację zgłaszania nieprawidłowości, możliwość korzystania z anonimowej infolinii dla sygnalistów zgłaszających naruszenie prawa ochrony konkurencji i konsumentów oraz pojedyncze wystąpienia organów administracyjnych w tym przedmiocie[2], temat sygnalistów nie był szerzej poruszany w działalności administracji publicznej. Dość wskazać, że na gruncie polskiego prawa istniała dotychczas wyłącznie regulacja art. 23 ust. 2 ustawy o Państwowej Inspekcji Pracy, przewidująca możliwość wydania przez kontrolującego inspektora postanowienia o zachowaniu w tajemnicy jakiejkolwiek informacji mogącej identyfikować osobę wyjawiającą mu pewne informacje. Przepis ten nigdy jednak nie został uzupełniony o inne kwestie, na przykład o ochronę przed negatywnymi konsekwencjami zgłoszenia lub odpowiedzialność za dokonanie zgłoszenia w złej wierze.

Wspomniana uAML wprowadziła obowiązek wdrożenia przez instytucje obowiązane procedury anonimowego zgłaszania naruszeń. Zgodnie z art. 53 uAML powinna ona określać następujące elementy:

  • osobę odpowiedzialną za odbieranie zgłoszeń;
  • sposób odbierania zgłoszeń;
  • sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
  • sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
  • zasady zachowania poufności w przypadku ujawnienia tożsamości sygnalistów lub gdy ich tożsamość jest możliwa do ustalenia;
  • rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia;
  • termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.

Chcąc wzmocnić wydźwięk tej regulacji, ustawodawca obwarował obowiązek wdrożenia procedury karą administracyjną w wysokości do 5 milionów euro. Niezależnie od powyższego należy uznać, że w świetle postulatu szerokiego uregulowania kwestii ochrony sygnalistów istnienie regulacji skierowanej wyłącznie do podmiotów spełniających definicję instytucji obowiązanych wydaje się niewystarczające.

Jakie obowiązki wobec przedsiębiorców przewiduje Dyrektywa?

Dyrektywa przewiduje zobowiązanie określonych podmiotów do podjęcia wskazanych w niej działań nakierowanych na ochronę sygnalistów. Wśród przedsiębiorców, którzy mają być zobowiązani do wykonywania tych działań, Dyrektywa wymienia podmioty prywatne i publiczne. Przedsiębiorcy, którzy zostaną objęci nowymi regulacjami, to:

  • prywatne podmioty prawne zatrudniające co najmniej 50 pracowników;
  • prywatne podmioty prawne dowolnej wielkości prowadzące działalność w obszarze usług finansowych lub podmioty narażone na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu, zgodnie z uregulowaniami zawartymi w aktach Unii, o których mowa w załączniku do Dyrektywy.

Powyższe wyliczenie oznacza, że niezależnie od liczby pracowników zatrudnianych przez przedsiębiorcę oraz wysokości osiągniętego przezeń obrotu Dyrektywa będzie miała zastosowanie do tych przedsiębiorców, którzy prowadzą działalność w zakresie szeroko rozumianych usług finansowych[3] lub są narażeni na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu. Z uwagi na sposób sformułowania tego przepisu należy domniemywać, że przedsiębiorcami narażonymi na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu są w rozumieniu prawodawcy unijnego tak zwane instytucje obowiązane, tj. podmioty wymienione w art. 2 ust. 1 uAML.

Spośród obowiązków określonych w Dyrektywie wspomnieć należy przede wszystkim o:

  • udostępnieniu pracownikom i kontrahentom jasnych i łatwo dostępnych informacji na temat procedur oraz zewnętrznych możliwości zgłaszania naruszeń;
  • stworzeniu w przedsiębiorstwie wewnętrznych, poufnych i bezpiecznych kanałów przyjmowania zgłoszeń od sygnalistów i poinformowanie o nich pracowników oraz partnerów biznesowych;
  • wyznaczenie osób odpowiedzialnych za weryfikację zgłaszanych informacji o możliwych naruszeniach;
  • podejmowanie działań wyjaśniających z zachowaniem należytej staranności;
  • przekazywanie sygnaliście informacji zwrotnych (w ciągu siedmiu dniu o przyjęciu zgłoszenia oraz w ciągu kolejnych trzech miesięcy o podjętych działaniach).

Biorąc pod uwagę taki zakres nowych obowiązków, przedsiębiorcy będą musieli zweryfikować swoje wewnętrzne procedury w zakresie compliance. Szczególnie ci, którzy już teraz posiadają wewnętrzne procedury odnoszące się do zgłaszania naruszeń prawa, powinni przeanalizować, czy zawierają one wszystkie elementy wymagane treścią Dyrektywy, a później implementowanej ustawy. Ci, którzy takich procedur nie posiadają, będą musieli stworzyć kompletną dokumentację uwzględniającą wszystkie elementy narzucone wprowadzanymi przepisami, a następnie odpowiednio wdrożyć zawarte w nich rozwiązania. Konieczne może okazać się także przeprowadzenie odpowiednich szkoleń skierowanych do pracowników w celu poinformowania ich o sposobach oraz dostępnych kanałach zgłaszania nieprawidłowości.

Warto zaznaczyć, że odpowiedzialnością objęte zostaną osoby, które utrudniają lub próbują utrudniać zgłaszanie naruszeń, podejmują działania odwetowe wobec osób zgłaszających, wszczynają uciążliwe postępowania przeciwko osobom zgłaszającym lub dopuszczają się naruszeń obowiązku utrzymania w tajemnicy tożsamości osób zgłaszających. Prawodawca unijny chce w ten sposób wzmocnić bezpieczeństwo sygnalistów, a także stworzyć bezpieczne warunki do zgłaszania naruszeń.

Co istotne, przepisy Dyrektywy uwzględniają także ryzyko dokonywania zgłoszeń w złej wierze. Sytuacja taka mogłaby mieć miejsce, gdyby osoba korzystająca z anonimowości i ochrony przyznanej wewnętrznymi procedurami dokonywała złośliwych, niemających pokrycia w rzeczywistości zgłoszeń w stosunku do innych osób. W świetle Dyrektywy fałszywi sygnaliści muszą się liczyć z ryzykiem poniesienia kar, które jej przepisy określają jako skuteczne, proporcjonalne i odstraszające, z odpowiedzialnością odszkodowawczą włącznie.

Implementacja

Zgodnie z art. 26 ust. 1 Dyrektywy państwa członkowskie mają obowiązek implementacji jej przepisów do krajowych porządków prawnych w ciągu 2 lat od wejścia w życie Dyrektywy, natomiast stosowanie przepisów wobec przedsiębiorstw zatrudniających od 50 do 249 pracowników ma nastąpić w ciągu lat 4. Co istotne, nie jest wykluczone, iż ustawodawca krajowy rozszerzy obowiązki związane z ochroną osób zgłaszających naruszenia. Taką możliwość daje art. 25 Dyrektywy, przesądzający jednocześnie o tym, że jej przepisy określają minimum w zakresie zasad ochrony sygnalistów, które należy wprowadzić do przepisów krajowych (tzw. dyrektywa minimalnej harmonizacji). Z uwagi na przyznanie krajowym ustawodawcom wspomnianej swobody warto śledzić proces uchwalania polskiej ustawy implementującej Dyrektywę, monitorować sposób wdrożenia poszczególnych jej przepisów, a także podejmować wcześniejsze działania nakierowane na przegląd wewnętrznych zasad i dokumentacji oraz na ich dostosowanie do aktualnych wymogów w tym zakresie.

[1] W tym kontekście warto zwrócić uwagę na próbę wprowadzenia instytucji sygnalisty do polskiego porządku prawnego podjętą w ramach projektu ustawy o jawności życia publicznego. Na jego gruncie status sygnalisty miał być przyznawany osobie informującej organy ścigania o poszczególnych, wymienionych enumeratywnie czynach zabronionych. Projektodawca chciał, aby status ten był nadawany przez prokuratora, zaś informacja o jego nadaniu, wraz z personaliami osoby zgłaszającej, miała być udostępniana jej pracodawcy (zleceniodawcy) z zastrzeżeniem rocznego zakazu zwalniania tej osoby oraz stosowania wobec niej innych środków represji. Ostatecznie projektowanych przepisów nie uchwalono.

[2] „Prezes podkreślił, że niezbędne jest zapewnienie ochrony danych osobowych sygnalistów, którą umożliwia stosowanie zarówno przepisów k.p.a., dotyczących procedury rozpatrywania skarg i wniosków, jak również RODO. W ocenie organu dane osobowe osób wnoszących taką skargę (sygnalistów) nie podlegają ujawnieniu w toku ww. postępowania. Co więcej, nie mają żadnego znaczenia dla takiego postępowania, którego celem jest zweryfikowanie i wyeliminowanie sygnalizowanych nieprawidłowości. Nawet jeżeli na skutek tych skarg zostaną wszczęte odrębne postępowania, przewidziane przepisami szczególnymi” (Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za rok 2018).

[3] Zgodnie z załącznikiem do Dyrektywy mowa tu przede wszystkim o usługach w zakresie bankowości, kredytów, ubezpieczeń i reasekuracji, emerytur zakładowych lub indywidualnych, papierów wartościowych, funduszy inwestycyjnych, płatności i doradztwa inwestycyjnego.

24 wrz 2019

Konsultacje dotyczące propozycji wytycznych EIOPA w zakresie outsourcingu z wykorzystaniem chmury obliczeniowej w ramach działalności ubezpieczeniowej

Nowy projekt wytycznych Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (European Insurance and Occupational Pensions Authority – EIOPA) dotyczący korzystania przez zakłady ubezpieczeń i zakłady reasekuracji z usług przetwarzania danych w chmurze obliczeniowej znacząco rozszerza wymogi regulacyjne w tym zakresie, zaostrzając je do poziomu zbliżonego do obowiązującego w sektorze bankowym. Wytyczne są obecnie na etapie konsultacji publicznych. Uwagi można zgłaszać do EIOPA do 30 września 2019 r.

Wprowadzenie

W ostatnich latach nastąpił znaczący wzrost popularności usług związanych z przetwarzaniem danych osobowych przy użyciu chmury obliczeniowej. Wykorzystuje się przy tym różne modele świadczenia tego rodzaju usług, w szczególności infrastruktura jako usługa (IaaS, od ang. Infrastructure as a Service), platforma jako usługa (PaaS – Platform as a Service) czy oprogramowanie jako usługa (SaaS – Software as a Service),  jak również różne modele chmury obliczeniowej, a mianowicie:

  1. chmurę publiczną (z założenia ogólnodostępną dla różnych użytkowników);
  2. chmurę prywatną (dostępną jedynie dla podmiotu, który ją wdrożył wewnętrznie);
  3. chmurę hybrydową (łączącą cechy chmury publicznej oraz prywatnej, umożliwiającą m.in. przekazanie tylko wybranych zasobów do chmury publicznej).

Z uwagi na niskie koszty (sprzęt, oprogramowanie i całość usług związanych z chmurą obliczeniową dostarcza z reguły jeden podmiot) największą popularnością cieszą się rozwiązania bazujące na chmurze publicznej. Wiodące podmioty z branży informatycznej obecnie nie tylko widzą duży potencjał w dalszym rozbudowywaniu usług chmurowych, ale już teraz osiągają ogromne przychody dzięki dostarczaniu tego typu usług. Przykładowo Microsoft, podając niedawno wyniki kwartalne, po raz pierwszy wskazał, że usługi świadczone w chmurze obliczeniowej wygenerowały przychód większy niż ten wytworzony przez tradycyjne działy przedsiębiorstwa[1].

Dynamiczny rozwój usług chmurowych niesie ze sobą nowe wyzwania ze względu na konieczność realizacji określonych wymogów prawnych, zwłaszcza w kontekście przetwarzania danych osobowych oraz przetwarzania informacji stanowiących tajemnice prawnie chronione. Wyzwania te są szczególnie widoczne z perspektywy podmiotów prowadzących działalność regulowaną (np. bankową lub ubezpieczeniową), w której zastosowanie mają nader restrykcyjne przepisy dotyczące outsourcingu.

W ostatnim okresie różne organy Unii Europejskiej wydają kolejne dokumenty dotyczące outsourcingu, w tym outsourcingu z wykorzystaniem usług świadczonych w chmurze obliczeniowej. W dniu 25 lutego 2019 r. Europejski Urząd Nadzoru Bankowego (European Banking Authority – EBA) opublikował wytyczne w sprawie outsourcingu (znak: EBA/GL/2019/02, dalej: „Wytyczne EBA”)[2], które wejdą w życie 30 września 2019 r. i zastąpią zarówno wytyczne Komitetu Europejskich Organów Nadzoru Bankowego (CEBS) z dnia 14 grudnia 2006 r. dotyczące zlecania zadań dostawcom usług, jak i zalecenia EBA dotyczące outsourcingu w chmurze. Wytyczne EBA odnoszą się także do outsourcingu w przypadku korzystania z usług chmurowych. W wydanym 16 września 2019 r. stanowisku Urząd Komisji Nadzoru Finansowego (UKNF) przesunął moment rozpoczęcia ich stosowania w Polsce na 30 czerwca 2020 r.[3] Z kolei EIOPA w dniu 1 lipca 2019 r. opublikowała materiał konsultacyjny dotyczący jej własnych wytycznych w zakresie outsourcingu, który ogranicza się wyłącznie do outsourcingu z wykorzystaniem usług chmurowych (dalej: „Projekt (EIOPA)” lub „Wytyczne (EIOPA)”)[4]. Uwagi do tego materiału można zgłaszać do 30 września 2019 r.[5] Wytyczne EIOPA mają być stosowane od 1 lipca 2020 r. do wszystkich umów outsourcingu w chmurze zawartych lub zmienionych od tego dnia, natomiast umowy już obowiązujące powinny zostać odpowiednio zmodyfikowane do 1 lipca 2022 r.

Pewnym zaskoczeniem może być fakt, że – odmiennie niż w przypadku Wytycznych EBA – Wytyczne EIOPA odnoszą się wyłącznie do outsourcingu, który powiązany jest ze świadczeniem usług w chmurze obliczeniowej. Tym samym nie mają one charakteru kompleksowego, co z jednej strony nie wydaje się dobrym rozwiązaniem, gdyż różnice w implementacji w poszczególnych państwach członkowskich przepisów dotyczących outsourcingu z dyrektywy Solvency II[6] są znaczne. Z drugiej strony takie podejście pozwala jednak obniżyć koszty i nakłady, jakie muszą ponieść zakłady ubezpieczeń i zakłady reasekuracji w celu dostosowania się do nowych wymogów i z tego powodu może być postrzegane pozytywnie. Wydaje się jednak, że ze względu na długi okres na dostosowanie się przez zakłady ubezpieczeń i zakłady reasekuracji do Wytycznych EIOPA (a postuluje się jego dalsze wydłużenie) powinny one objąć swoim zakresem całość zagadnień dotyczących outsourcingu w działalności ubezpieczeniowej.

Bezpośrednimi adresatami Wytycznych są zakłady ubezpieczeń oraz zakłady reasekuracji. Pośrednicy ubezpieczeniowi (agenci, brokerzy ubezpieczeniowi) wprawdzie do tego kręgu nie należą[7], lecz można się spodziewać, że zakłady ubezpieczeń oraz zakłady reasekuracji mogą kontraktowo zobowiązywać pośredników do odpowiedniego stosowania Wytycznych w takim zakresie, w jakim ci ostatni, wykonując czynności na rzecz zakładu ubezpieczeń lub reasekuracji, korzystają z rozwiązań chmurowych.

Poniżej skrótowo omówione zostaną wybrane zagadnienia zaprezentowane w opublikowanym przez EIOPA Projekcie, które powinny – zdaniem autorów – budzić szczególne zainteresowanie rynku i być przedmiotem dalszego namysłu unijnego urzędu.

Outsourcing oraz outsourcing istotny w Projekcie EIOPA

Opracowując Projekt, EIOPA przyjęła założenie, że Wytyczne będą miały zastosowanie do korzystania przez zakład ubezpieczeń lub zakład reasekuracji z usług przetwarzania danych w chmurze obliczeniowej tylko wtedy, gdy w ramach tych usług dochodzi jednocześnie do outsourcingu w rozumieniu art. 13 pkt 28 dyrektywy Solvency II (implementowanego w art. 3 ust. 1 pkt 27 u.d.u.r.[8]). W przepisie tym zdefiniowano outsourcing jako dowolnego rodzaju umowę zawartą pomiędzy zakładem ubezpieczeń lub zakładem reasekuracji a dostawcą usługi, na podstawie której dostawca –bezpośrednio lub w drodze suboutsourcingu – wykonuje proces, usługę lub działanie, które w innym przypadku zostałyby wykonane przez sam zakład ubezpieczeń lub zakład reasekuracji[9]. W wytycznej 1 Projektu wskazano ponadto, że dla kwalifikacji czynności jako outsourcingu regulowanego zakład ubezpieczeń lub zakład reasekuracji powinien wziąć pod uwagę:

  1. czy funkcja lub jej część będąca przedmiotem powierzenia innemu dostawcy jest wykonywana w sposób powtarzalny lub ciągły
    oraz
  2. czy funkcja lub jej część będąca przedmiotem powierzenia byłaby w normalnych okolicznościach wykonywana przez zakład ubezpieczeń lub zakład reasekuracji w toku działalności biznesowej, nawet jeśli nie była wykonywana dotychczas.

Powyższe założenie EIOPA należy ocenić zasadniczo pozytywnie. Alternatywą byłoby objęcie zakresem Wytycznych każdego przypadku korzystania przez zakład ubezpieczeń lub zakład reasekuracji z usług przetwarzania danych w chmurze, co wydawałoby się nadmiarowe i nieadekwatne z punktu widzenia zasady proporcjonalności, zgodnie z którą Wytyczne powinny być stosowane. Wątpliwości budzi natomiast wprowadzenie w Projekcie swego rodzaju domniemania, że korzystanie z usług przetwarzania danych w chmurze obliczeniowej stanowi outsourcing (cytat z wersji oryginalnej: „As a rule, outsourcing should be assumed”). Wydaje się, że taka kwalifikacja prawna powinna być dokonywana według przesłanek obiektywnych, bez konieczności przyjmowania tego rodzaju założeń wstępnych.

Niewątpliwą zaletą Wytycznych EBA jest to, że wprowadzają katalog przykładowych czynności, które – co do zasady – nie stanowią outsourcingu. Należy do nich m.in. korzystanie z usług audytorów zewnętrznych, agencji informacyjnych, izb rozliczeniowych, doradców prawnych lub podmiotów świadczących usługi związane z obsługą administracyjną biura. Wprowadzenie takiego katalogu stanowi cenną wskazówkę interpretacyjną, jak należy wykładać pojęcie outsourcingu objętego zakresem tych wytycznych. EIOPA nie zdecydowała się na wprowadzenie podobnego rozwiązania w ramach Projektu, wobec czego zainteresowane podmioty powinny postulować takie jego uzupełnienie na obecnym etapie konsultacji publicznych, aby niedopuszczalne było wnioskowanie a contrario w oparciu o porównanie Wytycznych EBA z Wytycznymi EIOPA.

W przypadku potwierdzenia, że korzystanie z usług przetwarzania danych w chmurze obliczeniowej stanowi w danym przypadku outsourcing regulowany, zgodnie z Projektem należy dokonać oceny, czy zachodzi outsourcing istotny (ang. material outsourcing), czy też nie. Przez outsourcing istotny należy zawsze rozumieć outsourcing krytycznych lub istotnych funkcji operacyjnych (ang. critical or important operational functions), kwalifikowanych zgodnie z Wytycznymi EIOPA dotyczącymi systemu zarządzania (znak: EIOPA-BoS-14/253 PL, dalej: „Wytyczne EIOPA dot. Systemu Zarządzania”)[10]. Wytyczna 7 Projektu określa dodatkowe kryteria, jakie zakład ubezpieczeń lub zakład reasekuracji powinien wziąć pod uwagę, klasyfikując outsourcing jako istotny. Należą do nich m.in.: wpływ awarii lub przerwy w dostawie usługi chmurowej na usługi świadczone przez zakład, możliwość zapewnienia zgodności z przepisami prawa lub zarządzania ryzykiem, zakres i stopień skomplikowania czynności wykorzystujących usługi przetwarzania danych w chmurze obliczeniowej oraz ich koszt. Co ciekawe, w Projekcie wskazano na potrzebę wzięcia pod uwagę ochrony zarówno danych osobowych, jak i danych nieosobowych[11] wraz z potencjalnym wpływem naruszenia poufności lub braku zapewnienia dostępności i integralności danych na przedsiębiorstwo, ubezpieczających lub inne podmioty. Od tego, czy dany przypadek korzystania z rozwiązań chmurowych zostanie zakwalifikowany jako outsourcing istotny, zależeć będzie, czy będą miały zastosowanie dodatkowe wymogi dotyczące m.in. informowania organów nadzoru o zawarciu umowy (wytyczna 4 Projektu), umowy z dostawcą usługi (wytyczna 10 Projektu) czy strategii wyjścia i zakończenia współpracy (wytyczna 15 Projektu). W toku konsultacji Projektu celowe wydaje się doprecyzowanie części kryteriów lub sposobu ich stosowania.

Czynności niezbędne przed zawarciem umowy z dostawcą usługi przetwarzania danych w chmurze obliczeniowej

Zgodnie z Projektem przed zawarciem umowy z dostawcą usługi przetwarzania danych w chmurze obliczeniowej zakład ubezpieczeń lub zakład reasekuracji zobowiązany będzie do realizacji następujących czynności:

  1. oceny, czy w ramach umowy ma miejsce outsourcing istotny, kwalifikowany według kryteriów określonych w wytycznej 7 Projektu;
  2. zidentyfikowania i oceny wszystkich istotnych ryzyk związanych z zawarciem umowy oraz przeprowadzenia analizy kosztów i korzyści wynikających z zawarcia umowy – zgodnie z wytyczną 8 Projektu. W przypadku outsourcingu istotnego analiza ryzyka powinna zostać przeprowadzona przed zawarciem umowy z dostawcą usługi oraz w każdym przypadku przed przedłużeniem umowy (jeśli zmianie ulega jej treść lub zakres). W tym ostatnim przypadku zasadnym wydaje się postulowanie zmiany Projektu poprzez wskazanie, że ponowna analiza ryzyka powinna mieć miejsce wtedy, gdy zmiana dotyczy istotnych postanowień umowy, mających wpływ na dotychczasową ocenę ryzyka współpracy. Niezależnie od powyższego analiza ryzyka współpracy z dostawcą usługi powinna być przeprowadzona w każdym przypadku, gdy zakład ubezpieczeń lub zakład reasekuracji poweźmie informację o istotnych zmianach lub nieprawidłowościach w ramach usług świadczonych przed dostawcę;
  3. przeprowadzenia badania due diligence dostawcy usługi – zgodnie z wytyczną 9 Projektu. W ramach badania należy dokonać m.in. analizy wiedzy, doświadczenia oraz sytuacji ekonomicznej dostawcy. Dokumentami wspierającymi przeprowadzenie due diligence mogą być posiadane certyfikaty potwierdzające zgodność z powszechnie uznawanymi normami, wyniki audytów wewnętrznych lub zewnętrznych przeprowadzonych u dostawcy. Warto zauważyć, że Projekt nie ogranicza obowiązku przeprowadzenia badania do outsourcingu istotnego. Wydaje się, że takie rozwiązanie może w niektórych przypadkach stanowić dla zakładów ubezpieczeń lub zakładów reasekuracji nieproporcjonalne obciążenie w stosunku do niskiej wagi czynności będących przedmiotem powierzenia dostawcy usługi w ramach outsourcingu;
  4. identyfikacji i oceny konfliktów interesów, jakie outsourcing może powodować – zgodnie z wymogami określonymi w art. 274 ust. 3 lit. b) rozporządzenia delegowanego Komisji (UE) 2015/35[12] (dalej: „Rozporządzenie Delegowane”).

Powyższe obowiązki zakładów ubezpieczeń oraz zakładów reasekuracji dotyczące etapu przedkontraktowego zasadniczo istnieją już na gruncie czy to obowiązujących przepisów prawa, czy Komunikatu KNF z 23 października 2017 r. (dalej: „Komunikat KNF”). Nie oznacza to jednak, że między Projektem a Komunikatem KNF nie występują pewne rozbieżności czy odmienne sformułowania. Słuszne wydaje się zatem postulowanie, aby KNF, w ramach nadzoru w obszarze korzystania z usług przetwarzania danych w chmurze obliczeniowej, po wejściu w życie Wytycznych opierała się w stosunku do zakładów ubezpieczeń i zakładów reasekuracji przede wszystkim na Wytycznych EIOPA, nie zaś prezentowała (inne) podejście krajowe. Konieczność stosowania dwóch regulacji dotyczących tej samej materii, w znacznej mierze zbliżonych jeśli chodzi o wymogi z nich wynikające, wydaje się nieuzasadniona i może w praktyce rodzić niepotrzebne trudności.

Obowiązki notyfikacyjne względem organu nadzoru oraz rejestr umów outsourcingu

Obowiązek zawiadomienia KNF o zamiarze zawarcia umowy outsourcingu funkcji należących do systemu zarządzania oraz podstawowych lub ważnych czynności („outsourcing istotny” według Wytycznych) istnieje już teraz na gruncie art. 75 ust. 2 u.d.u.r. Zgodnie z Wytycznymi EIOPA dot. Systemu Zarządzania zakład ubezpieczeń lub zakład reasekuracji w zawiadomieniu zamieszcza opis zakresu powierzanych czynności, przyczyny outsourcingu i nazwę usługodawcy oraz – jeżeli outsourcing dotyczy kluczowej funkcji – nazwisko osoby odpowiedzialnej za funkcje lub działania objęte outsourcingiem po stronie usługodawcy. Na gruncie Projektu zakres informacji, które należy przekazać do organu nadzoru (KNF), ulega znacznemu rozszerzeniu (zob. wytyczna 4 Projektu). Do dodatkowych elementów zawiadomienia należą m.in.: załączenie projektu umowy z dostawcą usługi, określenie prawa właściwego dla umowy, model świadczenia usługi (IaaS, PaaS lub SaaS), rodzaj dostępności infrastruktury chmurowej (publiczna, prywatna lub społecznościowa), charakter danych przekazywanych do przetwarzania w chmurze obliczeniowej, lokalizacja serwerów czy analiza zastępowalności dostawcy usługi.

W świetle art. 77 u.d.u.r. na zakładach ubezpieczeń i zakładach reasekuracji ciąży obowiązek prowadzenia wewnętrznej ewidencji umów outsourcingu, zawierającej podstawowe dane dostawcy usługi, zakres powierzonych czynności i funkcji oraz okres obowiązywania umowy. Projekt istotnie rozszerza zakres informacji, jakie powinien zawierać rejestr (zob. wytyczna 5 Projektu). Elementem, który nie występuje w rejestrze określonym w Wytycznych EBA, lecz występuje w Projekcie, jest opis zasad monitoringu czynności objętych outsourcingiem przez zakład ubezpieczeń lub zakład reasekuracji wskazujący dedykowane w tym celu osoby wykonujące te zadania i ich kompetencje w tym zakresie (zgodnie z Wytycznymi EBA tego rodzaju opis przekazywany jest na żądanie organu nadzoru). Niektóre punkty w Projekcie EIOPA nie są do końca jasne. Przykładowo: warto by doprecyzować, jakie warunki przesądzają o tym, że dostawca usług w chmurze (lub znaczący podwykonawca) wspiera operacje biznesowe krytyczne czasowo (czy chodzi np. o poziom dostępności, czy o opóźnienia). Należy także rozważyć, czy w rejestrze powinny znajdować się informacje dotyczące szacowanych rocznych kosztów budżetowych, które w odniesieniu do usług chmurowych często trudno określić.

Zgodnie z Projektem rejestr powinien obejmować wszystkie przypadki powierzenia określonych funkcji dostawcy usługi przetwarzania danych w chmurze obliczeniowej niezależnie od zakwalifikowania danego outsourcingu jako istotnego, aczkolwiek w odniesieniu do outsourcingu istotnego rejestr powinien zawierać dodatkowe elementy. Zakłady ubezpieczeń oraz zakłady reasekuracji powinny, w świetle zasady proporcjonalności, określić odpowiedni okres retencji, przez który będą przechowywane w rejestrze informacje dotyczące rozwiązanych lub wygasłych umów outsourcingu.

Wymogi wobec umów outsourcingu z dostawcami

W Projekcie podkreślono, że odpowiednie prawa i obowiązki podmiotu korzystającego z usług i dostawcy usług w chmurze powinny być wyraźnie przydzielone i określone w pisemnej umowie, przy czym wskazano także na minimalny zakres uzgodnień, stanowiący uzupełnienie wymogów określonych w art. 274 Rozporządzenia Delegowanego (wytyczna 10). Wskazano m.in. na konieczność uwzględnienia takich kwestii jak:

  1. jasny opis usług świadczonych w chmurze;
  2. okres obowiązywania umowy, w tym okres wypowiedzenia;
  3. prawo i sąd właściwe dla danej umowy;
  4. zobowiązania finansowe stron, w tym model wyceny usług świadczonych w chmurze;
  5. warunki podwykonawstwa (o ile zostało ono dopuszczone);
  6. lokalizacja przetwarzania danych (z uwzględnieniem krajów i lokalizacji centrów przetwarzania danych) oraz warunków zmiany tych lokalizacji;
  7. warunki dotyczące dostępności, integralności, poufności, prywatności i bezpieczeństwa odpowiednich danych;
  8. prawo do bieżącego monitorowania wydajności dostawcy usług przez podmiot korzystający z tych usług;
  9. uzgodnione poziomy obejmujące ilościowe i jakościowe cele w zakresie wydajności, które są bezpośrednio mierzalne przez podmiot korzystający z usług w celu niezależnego monitorowania otrzymanych usług;
  10. obowiązki sprawozdawcze dostawcy usług w chmurze (z uwzględnieniem zobowiązań do przedstawienia sprawozdań mających znaczenie dla funkcji audytu wewnętrznego podmiotu korzystającego z usług chmurowych);
  11. ewentualne objęcie obowiązkowym ubezpieczeniem od niektórych rodzajów ryzyk wraz z żądanym poziomem ochrony ubezpieczeniowej;
  12. wymagania dotyczące wdrażania i testowania biznesowych planów awaryjnych.

W Projekcie określono, że niezależnie od istotności outsourcingu umowa outsourcingu powinna obejmować wszystkie wymogi określone w art. 38 dyrektywy Solvency II. W szczególności podmiot korzystający z usług świadczonych w chmurze powinien dopilnować, aby umowa outsourcingowa lub jakiekolwiek inne ustalenia umowne nie utrudniały ani nie ograniczały jego organu nadzorczego w pełnieniu funkcji i celów nadzorczych oraz skutecznego nadzoru nad funkcjami i działaniami zlecanymi na zewnątrz.

Warto także zwrócić uwagę na zaakcentowanie zagadnień związanych z rozwiązaniem umowy i strategiami wyjścia (ang. exit plan), które powinny zapobiegać uzależnieniu od konkretnego dostawcy usług chmurowych. W Projekcie wyraźnie wskazano, iż w ramach umowy outsourcingu w chmurze (przynajmniej w przypadku istotnego outsourcingu) podmiot korzystający z tego typu usług powinien mieć jasno określoną klauzulę dotyczącą strategii wyjścia, zapewniającą, że w razie potrzeby będzie w stanie rozwiązać umowę. Wypowiedzenie powinno być przy tym możliwe bez uszczerbku dla ciągłości i jakości świadczenia usług na rzecz ubezpieczających (wytyczna 15).

W ramach prawa do rozwiązania umowy i strategii wyjścia wskazano nadto na potrzebę zidentyfikowania alternatywnych rozwiązań z uwzględnieniem planów przejścia (aby umożliwić także przeniesienie usług i danych do innego dostawcy usług w chmurze lub z powrotem do podmiotu korzystającego z tych usług). W tym zakresie podkreślono także kwestię konieczności trwałego usunięcia danych po zakończeniu świadczenia usług w chmurze (tj. po ich zwróceniu bezpośrednio do podmiotu korzystającego z tych usług lub przekazaniu do innego dostawcy usług).

Prawo kontroli i audytu dostawcy usług chmurowych

W Projekcie przewidziano, że umowa outsourcingowa nie powinna ograniczać przysługującego podmiotowi korzystającemu z usług prawa dostępu i audytu dostawcy oraz możliwości kontroli usług w chmurze w celu wypełnienia obowiązków regulacyjnych. Jednocześnie podkreślono potrzebę zapewnienia przekazywania korzystającemu z usług informacji potrzebnych do odpowiedniego zarządzania i monitorowania ryzyka związanego z outsourcingiem chmurowym (wytyczna 11).

Wskazano, że zakres wspomnianych audytów powinien obejmować m.in. ocenę usługodawcy oraz, w stosownych przypadkach, jego podwykonawców, proces zarządzania incydentami (w szczególności w przypadku naruszeń danych, zakłóceń w świadczeniu usług lub innych istotnych problemów), jak również ocenę przestrzegania wytycznych dotyczących outsourcingu w chmurze. Można zauważyć, że podobne prawo przewidziane jest niezależnie (w zakresie dotyczącym przetwarzania danych osobowych) w art. 28 ust. 3 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). Przy określaniu częstotliwości audytów wskazano na potrzebę wzięcia pod uwagę charakteru i zakresu ryzyka oraz wpływu na podmiot korzystający z usług outsourcingu w chmurze obliczeniowej. Niemniej jednak warto zauważyć, że w Projekcie dostrzeżono istotny dla wszystkich dużych dostawców usług informatycznych (nie tylko chmurowych) problem dotyczący potencjalnego obciążenia organizacyjnego powstającego w związku z ich audytowaniem. Niewątpliwie w przypadku świadczenia usług na dużą skalę (np. dla różnych zakładów ubezpieczeń) dostawca usług chmurowych mógłby być istotnie obciążony ze względu na konieczność poddawania się cyklicznym audytom prowadzonym przez różnych jego klientów. Stąd też w Projekcie (w celu bardziej efektywnego wykorzystania zasobów audytu oraz zmniejszenia obciążenia organizacyjnego spoczywającego na dostawcy usług chmurowych i jego klientach) dopuszczono możliwość:

  1. korzystania przy realizacji prawa do audytu z certyfikatów oraz raportów stron trzecich lub raportów wewnętrznych udostępnionych przez dostawcę usług chmurowych;
  2. audytów zbiorczych (np. przeprowadzanych wspólnie z innymi klientami tego samego dostawcy usług chmurowych) lub przeprowadzanych przez innych klientów lub przez wskazany przez nich podmiot.

Takie rozwiązanie wydaje się racjonalne, jakkolwiek warto mieć na uwadze, że w Projekcie umieszczono liczne zastrzeżenia w odniesieniu do realizacji prawa do audytu poprzez certyfikaty oraz raporty stron trzecich lub raporty wewnętrzne udostępnione przez dostawcę usług chmurowych. Wskazano m.in., że w przypadku szczególnych potrzeb umownie powinno być zachowane prawo do przeprowadzania indywidualnych kontroli na miejscu według własnego uznania w zakresie dotyczącym istotnego outsourcingu. Kwestie te opisano zasadniczo podobnie w Wytycznych EBA, jednakże EBA bardziej restrykcyjnie podchodzi do zagadnień związanych z outsourcingiem krytycznych lub istotnych funkcji. W tym zakresie celowe byłoby zachowanie większej spójności w Projekcie EIOPA.

Wydaje się ponadto, że Wytyczne powinny zawierać bardziej precyzyjnie odniesienie do dopuszczalności częściowego wyłączenia prawa do bezpośredniej realizacji uprawnień audytowych przez podmiot korzystający z usług świadczonych w chmurze obliczeniowej. Mając na uwadze skalę działalności dostawców usług chmurowych, zasadne wydaje się rozważenie przyjęcia jako standardu możliwości korzystania z audytu, certyfikatów oraz raportów stron trzecich, a ewentualne bezpośrednie realizowanie uprawnień audytowych ograniczyć do sytuacji, w których dostarczone certyfikaty lub raporty stron trzecich okazałyby się niewystarczające.

Suboutsourcing

W Projekcie zaakcentowano także potrzebę umownego określenia, czy podoutsourcing jest dozwolony, czy też wykluczony. W szczególności wskazano, że dla spełnienia wymogów wynikających z art. 274 ust. 4 lit. k) i lit. l) Rozporządzenia Delegowanego, umowa w sprawie outsourcingu w chmurze powinna określać, w stosownych przypadkach, czy podwykonawstwo krytycznych lub ważnych funkcji dotyczących działalności podmiotu korzystającego z usług chmurowych lub znacznych ich części są dozwolone lub wyraźnie wykluczone.

Zaznaczono, że podmiot korzystający z usług w chmurze powinien zgodzić się na podoutsourcing, wyłącznie jeśli podwykonawca będzie w pełni realizował obowiązki nałożone w pierwszej kolejności na dostawcę usług chmurowych. Obowiązki te obejmują przede wszystkim prawa do audytu i dostępu oraz odpowiednie zabezpieczenie danych i systemów. Ponadto umowa dotycząca outsourcingu w chmurze powinna określać, jakiego rodzaju czynności są wykluczone z potencjalnego podwykonawstwa, jak również wskazywać, że dostawca ponosi pełną odpowiedzialność za usługi, które zlecił podwykonawcom. Dodatkowe wymogi odnoszą się także do informowania o podwykonawcach oraz zagwarantowania prawa sprzeciwu w sytuacji, w której zmiany miałyby niekorzystny wpływ na ocenę ryzyka uzgodnionych usług (wytyczna 13).

Wytyczne mają istotne znaczenie w kontekście aktualnie rozpowszechnionej wykładni przepisów u.d.u.r., które nie regulują wprost kwestii suboutsourcingu. Niekiedy – zdaniem autorów niesłusznie – przyjmuje się bowiem, że w przepisach tych wyłączono możliwość dalszego outsourcingu („podoutsourcingu”): „Należy wyłączyć możliwość dokonania przez dostawcę usług dalszego powierzenia wykonywania czynności lub funkcji zakładu (które to czynności lub funkcje dostawca ten wykonuje na mocy postanowień umowy outsourcingu) innemu podmiotowi. W świetle postanowień z art. 73 u.d.u.r. takiego powierzenia może dokonać wyłącznie zakład. Wyłączyć należy zatem w ogólności możliwość dokonywania dalszego outsourcingu (outsourcingu wtórnego) przez dostawcę usług outsourcingowych (podzlecenia czynności outsourcingowych). Takie hipotetyczne podzlecenie byłoby bowiem w opozycji do postanowień z art. 74 i 75 u.d.u.r.”[13]. Takie rozwiązanie byłoby bardziej restrykcyjne niż to przyjęte w przypadku działalności bankowej (gdzie podoutsourcing jest dopuszczalny). Warto jednak mieć na uwadze, że w doktrynie prezentowane są także słuszne stanowiska odmienne w zakresie wykładni pojęcia outsourcingu wskazanego w art. 3 ust. 1 pkt 27 u.d.u.r: „Przedstawiona definicja dopuszcza również możliwość tzw. suboutsourcingu, czyli dalszego zlecenia innym podmiotom usług outsourcingowych przez podmiot, który przyjął takie pierwotne zlecenie od zakładu ubezpieczeń lub zakładu reasekuracji”[14]. Co ciekawe, możliwości suboutsourcingu w ogóle nie wykluczają przepisy dyrektywy Solvency II, gdzie wprost stwierdzono, że outsourcing może być realizowany w drodze suboutsourcingu (zob. art. 13 pkt 28 dyrektywy Solvency II). Możliwość suboutsourcingu przewidziano także w Rozporządzeniu Delegowanym, dlatego też definicja znajdująca się w art. 3 ust. 1 pkt 27 u.d.u.r., która całkowicie przemilcza tę kwestię, budzi wątpliwości.

Wydaje się, że w Wytycznych EIOPA powinno jednak znaleźć się odniesienie do ewentualnej dopuszczalności kolejnych poziomów suboutsourcingu (tzw. suboutsourcing łańcuchowy) nawiązujące do dyrektywy Solvency II i Rozporządzenia Delegowanego. Pozytywnie należy natomiast odnieść się do wytycznych dopuszczających wprost podoutsourcing w ramach usług chmurowych. Całkowite wykluczenie podoutsourcingu w praktyce uniemożliwiłoby korzystanie w większości przypadków z tego typu usług, które z racji swojego charakteru opierają się zazwyczaj na większej liczbie podwykonawców.

Mając na uwadze treść Wytycznych, warto na gruncie przepisów u.d.u.r. rozważyć także możliwość szerszego przyjęcia dopuszczalności podoutsourcingu w ramach działalności ubezpieczeniowej w związku z podzlecaniem różnego rodzaju usług – nie tylko tych związanych z przetwarzaniem danych przy użyciu chmury obliczeniowej.

[1] Zob. https://businessinsider.com.pl/gielda/wiadomosci/microsoft-wyniki-finansowe-za-iv-kw-2019-roku/x9gc5b7.

[2] Tekst Wytycznych EBA dostępny jest pod adresem https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_PL.pdf.

[3] Zob. https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf.

[4] Tekst projektu wytycznych jest dostępny pod adresem https://eiopa.europa.eu/Publications/Consultations/2019-07-01%20ConsultationDraftGuidelinesOutsourcingCloudServiceProviders.pdf.

[5] Formularz do zgłaszania uwag dostępny jest pod adresem https://ec.europa.eu/eusurvey/runner/Consultation_Cloud_GL_2019.

[6] Dyrektywa Parlamentu Europejskiego i Rady 2009/138/WE z dnia 25 listopada 2009 r. w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. Urz. UE L 335 z 17.12.2009, s. 1).

[7] W doktrynie wskazuje się, że umowy agencyjne co do zasady nie powinny być kwalifikowane jako umowy outsourcingowe: „Za słuszne należy uznać stanowisko, zgodnie z którym umowy agencyjnie nie są objęte przepisami dotyczącymi outsourcingu. Takie stanowisko uzasadnia fakt, że katalog czynności, których powierzenie innemu podmiotowi powinno odbywać się w drodze outsourcingu, nie obejmuje czynności związanych z zawieraniem umów ubezpieczenia. Jednakże w przypadku gdyby w ramach umowy agencyjnej powierzono agentowi wykonywanie jakichkolwiek czynności, które są uwzględnione w omawianym katalogu, wówczas bez wątpienia znajdą zastosowanie przepisy dotyczące outsourcingu” (P. Czublun (red.), Ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Komentarz, Warszawa, 2016).

[8] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (tekst jedn.: Dz. U. z 2019 r., poz. 381).

[9] W Polsce szczegółowe zasady dotyczące outsourcingu ubezpieczeniowego uregulowano w art. 73–77 u.d.u.r.

[10] Zob. https://eiopa.europa.eu/GuidelinesSII/EIOPA_Guidelines_on_System_of_Governance_PL.pdf.

[11] Kwestie dotyczące danych innych niż osobowe regulują obecnie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Dz. Urz. UE L 303 z 28.11.2018, s. 59). Niezależnie od przepisów tego rozporządzenia warto mieć także na uwadze, że w przypadku działalności ubezpieczeniowej niektóre dane (np. dotyczące poszczególnych umów ubezpieczenia osób prawnych), mimo braku charakteru danych osobowych, mogą stanowić tajemnicę ubezpieczeniową w rozumieniu 35 ust. 1 u.d.u.r.

[12] Rozporządzenie delegowane Komisji (UE) 2015/35 z dnia 10 października 2014 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2009/138/WE w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. Urz. UE L 12 z 17.01.2015, s. 1).

[13] P. Wajda, Art. 73, [w:] Ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Komentarz, Wolters Kluwer, 2017.

[14] P. Czublun (red.), dz. cyt.

12 wrz 2019

(Nie)legalne kopiowanie dokumentów tożsamości, czyli co miał na myśli Prezes UODO w odpowiedzi na pismo Związku Banków Polskich

W dniu 9 września 2019 r. na stronie internetowej Urzędu Ochrony Danych Osobowych pojawiła się odpowiedź na pismo skierowane do organu nadzorczego przez prezesa Związku Banków Polskich[1].

Tekst wzbudził bardzo duże kontrowersje i był żywo komentowany w zasadzie od razu  po publikacji.

Próbując odpowiedzieć na pytanie, co miał na myśli Prezes UODO, można stwierdzić, że… nie wiadomo – poza tym, że najwyraźniej nie podoba mu się kopiowanie dokumentów tożsamości przez banki.

Warto na chłodno przyjrzeć się stanowisku przedstawionemu przez organ nadzorczy. Po pierwsze wydaje się ono rewolucyjne względem dotychczasowej linii orzeczniczej (w świetle której kopiowanie dokumentów było uznawane wyłącznie za czynność techniczną[2]. Po drugie trudno sobie wyobrazić jego praktyczne stosowanie przez banki (banki krajowe, oddziały instytucji kredytowych, oddziały banków zagranicznych). Po trzecie można odnieść wrażenie, że organ nadzorczy postanowił rozszerzyć swoje kompetencje wynikające z ogólnego rozporządzenia o ochronie danych (dalej: „RODO”)[3], a doprecyzowane w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: „u.o.d.o.”)[4]. Zamiast monitorować i egzekwować stosowanie przepisów RODO (zgodnie z art. 57 ust. 1 lit. a) RODO i art. 34 ust. 2 i innymi przepisami u.o.d.o.) przyjął najwyraźniej, że lepiej będzie wystąpić w roli prawodawcy.

Organ nie zakwestionował wprawdzie możliwości legalnego kopiowania dokumentów tożsamości przez banki, niemniej jednak ewidentnie uznał, że takie działanie powinno mieć charakter ograniczony. Można by zgodzić się z jego rozważaniami na temat art. 112b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej: „p.b.”)[5] czy z niektórymi spostrzeżeniami dotyczącymi ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „ustawa AML”)[6], ale trudno zaakceptować jego postulaty związane ze szczególnym traktowaniem kopii dokumentów tożsamości[7].

Prezes UODO nie ograniczył się do zwykłej interpretacji przepisów, stwierdzając, iż „sporządzanie kopii dowodów tożsamości w ocenie organu nadzorczego jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy”. Należy zauważyć przy tym, że organ nie stosuje konsekwentnie określonych terminów, raz wskazując na „kopie dowodów tożsamości”, innym razem zaś na „kopie dokumentów tożsamości”. Nieprecyzyjne słownictwo wskazuje na pobieżne potraktowanie problematyki. Nie sposób zresztą racjonalnie przyjąć, że w świetle obowiązujących przepisów można mówić o sporządzeniu „kopii dowodu tożsamości”, skoro skopiować można co najwyżej dokument tożsamości, który to dokument może dopiero stanowić dowód tożsamości. Trudno więc oczekiwać, że organ w ogóle rozważał ewentualne wątpliwości w zakresie tego, czy pojęcie „dokument tożsamości”, o którym mowa w ustawie AML czy w art. 112b p.b., powinno ograniczać się wyłącznie do dokumentów stwierdzających tożsamość, czy też może obejmować także innego rodzaju dokumenty.

Niezależnie od tych uwag brak jest jakiegokolwiek przepisu prawa (zwłaszcza przepisu RODO), który uzasadniałby stanowisko przedstawione przez Prezesa UODO. Prezentując streszczony powyżej pogląd, organ nadzorczy zaproponował – jak się zdaje – wprowadzenie kolejnego rodzaju danych osobowych (danych znajdujących się w dokumentach tożsamości) czy też jedynej w swoim rodzaju operacji przetwarzania (kopiowania dokumentów tożsamości), które wymagają szczególnej podstawy prawnej, tj. przepisów rangi ustawowej.

Taka konstrukcja jawi się jako nieuzasadniona. W RODO można wyróżnić trzy rodzaje danych:

  • dane zwykłe (które mogą być przetwarzane w oparciu o jedną z podstaw wskazanych w art. 6 ust. 1 RODO);
  • szczególne kategorie danych – tzw. dane wrażliwe (które mogą być przetwarzane w oparciu o jedną z podstaw wskazanych w art. 9 ust. 2 RODO);
  • dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (których przetwarzania na podstawie art. 6 ust. 1 RODO wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą).

Warto mieć na uwadze, że obecnie żaden z tych rodzajów danych osobowych nie musi mieć specjalnej podstawy prawnej (jedynie) w ustawie (jak wydaje się chcieć Prezes UODO w swym stanowisku), aby można je było legalnie przetwarzać (wymóg taki względem tzw. danych wrażliwych przewidywały nieobowiązujące już przepisy ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.). Artykuł 6 ust. 1 lit. c) RODO (w zakresie danych zwykłych), art. 9 ust. 2 lit. b), g), i), j) RODO (w zakresie danych wrażliwych) czy art. 10 RODO (w zakresie danych wskazanych w tym przepisie) wspominają wyłącznie o obowiązku prawnym lub przepisach prawa Unii lub prawa państwa członkowskiego, które w określonych okolicznościach mogą stanowić podstawę prawną przetwarzania. W porządku prawnym Rzeczypospolitej Polskiej katalog źródeł prawa określa art. 87 Konstytucji RP[8] zgodnie z którym źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (ust. 1), a także akty prawa miejscowego na obszarze działania organów, które je ustanowiły (ust. 2).

Wydaje się, że przynajmniej teoretycznie akt każdego z wymienionych rodzajów (a nie tylko ustawa) mógłby określać zasady dotyczące przetwarzania danych znajdujących się w dokumentach tożsamości.

Kopia dowodu osobistego nie zawiera danych wrażliwych w rozumieniu art. 9 ust. 2 RODO, a jedynie dane zwykłe (w zależności od wersji dokumentu tożsamości danych tych może być mniej lub więcej). Nie ma przy tym żadnych uzasadnionych podstaw do tego, by kopię dokumentu tożsamości należało traktować jako swoiste dane szczególnej kategorii, które można przetwarzać wyłącznie na podstawie przepisów ustawowych. Wystarczające gwarancje w tej mierze zapewniają zasady ujęte w art. 5 RODO (w szczególności zasada minimalizacji danych – art. 5 ust. 1 lit. c) RODO).

Administrator danych musi oczywiście posiadać podstawę prawną do zebrania danych osobowych, natomiast sposób, w jaki to zebranie nastąpi (spisanie lub skopiowanie danych), jest kwestią absolutnie wtórną.

Prezes UODO trafnie przytoczył przepisy ustawy AML, w szczególności jej art. 34 i 35. Przepisy te pozwalają przyjąć, że instytucje obowiązane (w tym banki) mogą przetwarzać dane znajdujące się w dokumentach tożsamości na podstawie art. 6 ust. 1 lit. c) RODO.

Kluczowy wydaje się tutaj art. 34 ust. 4 ustawy AML, który przesądza, że instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. W przypadku banków można ponadto powoływać się zasadnie na art. 112b p.b., zgodnie z którym banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Warto jednak pamiętać, że instytucjami zobowiązanymi w rozumieniu ustawy AML mogą być również inne zobowiązane do stosowania tych przepisów podmioty (nie tylko banki!), które mogą mieć jeszcze większe wątpliwości w konsekwencji stanowiska zaprezentowanego przez organ nadzorczy. Jako przykład można podać krajowe instytucje płatnicze, które w ustawie o usługach płatniczych[9] nie znajdują przepisu analogicznego do tego, który obowiązuje banki. Pewne wątpliwości na gruncie p.b. mogą dotyczyć tego, czy dokument tożsamości powinien być rozumiany wąsko (jedynie jako dokument stwierdzający tożsamość), czy raczej powinien obejmować także innego rodzaju dokumenty, co było już przedmiotem rozważań doktryny: „Istnieją wątpliwości odnośnie do zakresu pojęcia «dokument tożsamości». Z pewnością do dokumentów tożsamości można zaliczyć dowód osobisty, paszport, karty stałego pobytu wydawane cudzoziemcom. Nie jest jednak jasne, czy dokumentem tożsamości w rozumieniu komentowanego przepisu mogłoby być także np. prawo jazdy, legitymacja szkolna (za szerokim rozumieniem dokumentu tożsamości opowiada się M. Bączyk, w: Prawo…, s. 603). Z punktu widzenia celu, dla którego banki mogą przetwarzać dane zawarte w dokumentach tożsamości, szerokie rozumienie tego pojęcia byłoby jak najbardziej uzasadnione”[10]. Podobne wątpliwości mogą się pojawiać na gruncie ustawy AML, lecz do tej kwestii organ nadzorczy w ogóle się nie odniósł.

W odpowiedzi Prezesa UODO zabrakło jednoznacznego wskazania, że dane zawarte w dokumentach tożsamości to takie same dane jak dane innego rodzaju – jego stanowisko jest w tym względzie niejasne.

W świetle dotychczasowej praktyki oraz orzecznictwa, których słuszność nie budzi wątpliwości, kopiowanie (np. dokumentu tożsamości) jest czynnością techniczną i jednym ze sposobów zbierania danych osobowych. Żaden z przepisów RODO nie zabrania konkretnego sposobu zbierania danych. Ponownie należy podkreślić, że kluczowy jest zakres zbieranych danych, który powinien być oceniany pod kątem legalności i adekwatności przetwarzania, sposób zbierania danych jest natomiast kwestią wtórną.

Błędne wydaje się przyjęcie, że nowe zagrożenia mogą skutkować kwestionowaniem legalności przetwarzania danych. Takie podejście – co widać na przykładzie odpowiedzi Prezesa UODO – może prowadzić do nieuzasadnionego tworzenia szczególnych podstaw prawnych (nieprzewidzianych w przepisach!) w celu zapewnienia legalności określonych operacji przetwarzania konkretnych rodzajów danych.

Przyjęcie takich rozwiązań prowadzić będzie jedynie do kolejnych absurdów. Idąc tym tropem rozumowania, można by dojść do wniosku, że w kolejnej odpowiedzi organ nadzorczy uzna, iż możliwość przetwarzania wizerunku utrwalonego na zdjęciu wymaga szczególnej podstawy prawnej (np. osobnej zgody podmiotu danych), ponieważ pojawiły się nowe zagrożenia związane np. ze zjawiskiem deepfake[11]. Jeśli określony rodzaj danych (czy dokumentów) może wiązać się z dodatkowymi zagrożeniami, racjonalne wydaje się przyjęcie dodatkowych środków zabezpieczających dane (np. ograniczenie dostępu do danych w ramach organizacji bądź specjalne oznaczenie takich danych lub kopii dokumentów), a nie kwestionowanie podstawy prawnej przetwarzania danych, która w określonych okolicznościach w ogóle nie powinna budzić wątpliwości.

Wracając do działalności bankowej i obowiązków związanych z realizacją wymogów określonych w ustawie AML, należałoby uznać, że kopiowanie dokumentów tożsamości przez banki powinno być zasadą, od której ewentualne wyjątki mogłyby być uregulowane wewnętrznymi procedurami.

Przede wszystkim trzeba mieć na uwadze, że zgodnie z art. 35 ust. 1 pkt 1 ustawy AML instytucje zobowiązane stosują środki bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych. Wydaje się zatem, że w każdym przypadku, w którym osoba zamierza założyć konto (w oddziale banku czy online), procedura bankowa powinna w zasadzie nakazywać sporządzenie kopii bądź skanu dokumentu tożsamości w celu realizacji wymogów ustawy AML. W świetle wyjaśnień Prezesa UODO wcale nie jest to oczywiste – wręcz można uznać, że pracownik banku powinien, zgodnie z zasadami celowości i minimalizacji, o których mowa w RODO, ocenić, czy czynność skopiowania dokumentu jest niezbędna, skoro art. 34 ust. 4 ustawy AML przewiduje taką możliwość, a nie obowiązek.

Być może w ocenie organu nadzorczego byłoby najlepiej (w celu uniknięcia zarzutu naruszenia zasady adekwatności), gdyby bank zwrócił się do klienta o przekazanie kopii dokumentu tożsamości dopiero w momencie zlecenia przeprowadzenia transakcji okazjonalnej na 15 000 euro lub większej. W rzeczywistości trudno sobie wyobrazić, jak w praktyce miałaby wyglądać realizacja wymogów wynikających z ustawy AML w świetle rozważań Prezesa UODO.

Szkoda, że organ nadzorczy nie zajmuje się działaniami, do których jest wprost uprawniony zgodnie z art. 58 ust. 3 RODO (np. przyjmowaniem standardowych klauzul ochrony danych, o których mowa w art. 28 ust. 8 RODO, czy sprawnym opiniowaniem i zatwierdzaniem projektów kodeksów postępowania zgodnie z art. 40 ust. 5 RODO), ani też nie korzysta z dodatkowych uprawnień przewidzianych w przepisach u.o.d.o. Przykładowo: art. 53 ust. 1 pkt 4 u.o.d.o. przewiduje, że Prezes UODO udostępnia na swojej stronie internetowej w Biuletynie Informacji Publicznej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Tego typu zalecenia, jakkolwiek nie posiadają charakteru wiążącego, mogłyby jednak w przypadku konkretnej działalności stanowić istotne wsparcie dla administratorów danych (w tym instytucji zobowiązanych w rozumieniu ustawy AML).

Niestety, zamiast przedstawiać rekomendacje dotyczące ewentualnych środków technicznych i organizacyjnych, które powinny zostać skonsultowane z zainteresowanymi podmiotami, organ nadzorczy zajął kolejne kontrowersyjne stanowisko.

[1] Tekst odpowiedzi Prezesa UODO dostępny jest pod adresem: https://uodo.gov.pl/pl/138/1182.

[2] „gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych. Inaczej mówiąc, posługiwanie się taką czy inną techniką utrwalania danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania).” – uzasadnienie wyroku NSA z dnia 19 grudnia 2001 r., sygn. II SA 2869/00

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).

[4] Dz. U. poz. 1000 ze zm.

[5] Tekst jedn.: Dz. U. z 2018 r., poz. 2187 ze zm.

[6] Tekst jedn.: Dz. U. z 2019 r., poz. 1115 ze zm.

[7] W świetle aktualnych przepisów zabronione jest jedynie wytwarzanie, oferowanie, zbywanie lub przechowywanie repliki dokumentu publicznego (art. 58 ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych – Dz. U. z 2019 r., poz. 53 ze zm.). Zgodnie z art. 2 ust. 1 pkt 2 ustawy o dokumentach publicznych przez dokument publiczny należy rozumieć dokument, który służy do identyfikacji osób, rzeczy lub potwierdza stan prawny lub prawa osób posługujących się takim dokumentem, zabezpieczony przed fałszerstwem i: a) wytwarzany według wzoru określonego w przepisach prawa powszechnie obowiązującego albo; b) którego wzór graficzny i forma zostały zatwierdzone przez podmiot realizujący zadania publiczne uprawniony na podstawie odrębnych przepisów i który jest zgodny z wymogami dla blankietu tego dokumentu określonymi w przepisach prawa powszechnie obowiązującego.

[8]Dokumentem publicznym może być także dokument potwierdzający tożsamość osoby, jednakże skan lub kserokopię dokumentu, co do zasady, nie sposób uznać za replikę dokumentu publicznego w rozumieniu art. 2 ust. 1 pkt 6 ww. ustawy. Przykładami dokumentów potwierdzających tożsamość mogą być dowód osobisty (zgodnie z art. 4 ust. 1 ustawy z dnia 6 sierpnia 2010 r. o dowodach osobistych – tekst jedn.: Dz. U. z 2019 r., poz. 653 ze zm.) czy dokument paszportowy (zgodnie z art. 4 ustawy z dnia 13 lipca 2006 r. o dokumentach paszportowych – tekst jedn.: Dz. U. z 2018 r., poz. 1919 ze zm.).

Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu 25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r. – Dz. U. nr 78, poz. 483 ze zm

[9] Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych – tekst jedn.: Dz. U. z 2019 r., poz. 659 ze zm.

[10] „A. Kawulski, Art. 112(b). W: Prawo bankowe. Komentarz [online]. Wydawnictwo Prawnicze LexisNexis, 2019-08-19 14:32 [dostęp: 2019-09-12 16:09]. Dostępny w Internecie: https://sip.lex.pl/#/commentary/587390183/187623

[11] W sieci pojawiło się wiele przykładów deepfake. Niektóre mogą wzbudzać niepokój (np. spreparowane nagrania wypowiedzi światowych przywódców), niektóre bawić – jak w przypadku nagrania, w którym Jon Snow (grany przez Kita Haringtona) przeprasza widzów za zakończenie serialu „Gra o tron”.

23 lip 2019

Obowiązki związane z naruszeniami ochrony danych osobowych w świetle nowego poradnika UODO

Na stronie internetowej Urzędu Ochrony Danych Osobowych (dalej: „UODO”) kilka tygodni temu opublikowany został poradnik zatytułowany Obowiązki administratorów związane z naruszeniami ochrony danych osobowych[1]  (dalej: „Poradnik UODO”). Z uwagi na ogólny charakter przepisów RODO[2] oraz bardzo krótkie terminy na zgłoszenie naruszeń do organu nadzorczego, po stronie podmiotów przetwarzających dane osobowe w dalszym ciągu pojawiają się wątpliwości co do działań, jakie należy podejmować w związku z takimi naruszeniami. Poradnik zamieszczony na stronie internetowej organu nadzorczego zawiera wiele praktycznych wskazówek oraz omówienie najczęstszych błędów popełnianych podczas zawiadamiania osób, których dane dotyczą, niemniej jednak zabrakło w nim wyjaśnienia kilku istotnych kwestii.

Po pierwsze, jakkolwiek treść wytycznych zawiera istotne wskazówki w tym zakresie, pewnych trudności przysparzać może ustalenie, w którym momencie dochodzi do stwierdzenie naruszenia.

Po drugie, wątpliwości mogą dotyczyć tego, czy w sytuacji, w której naruszenie miało miejsce u podmiotu przetwarzającego, bieg terminu na zgłoszenie naruszenia należy liczyć od momentu jego stwierdzenia u podmiotu przetwarzającego, czy może od momentu zgłoszenia go administratorowi.

Po trzecie, w świetle wyjaśnień zawartych w Poradniku UODO nie jest też jasne, w którym momencie należy oceniać ryzyko naruszenia praw lub wolności osób fizycznych w razie utraty dostępności  danych.

Moment stwierdzenia naruszenia

Do stwierdzenia naruszenia ochrony danych osobowych konieczne jest zajście zdarzenia, którego skutkiem może (ale nie musi) być takie naruszenie. Stosownie do treści art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Aby zatem uznać, że takie naruszenie miało miejsce, w pierwszej kolejności należałoby ustalić, czy określone zdarzenie w ogóle wystąpiło oraz czy prowadziło ono do skutków, o których mowa w art. 4 pkt 12 RODO.

Obowiązkiem administratora danych jest niewątpliwie przygotowanie określonych procedur reagowania na informacje dotyczące potencjalnych naruszeń, które mogą skutkować utratą poufności, integralności lub dostępności danych[3].

Potrzebę wprowadzenia stosownych procedur w tym zakresie zaakcentowano także w Poradniku UODO. Wskazano w nim, że w celu zapewnienia szybkich działań w przypadku wykrycia naruszenia procedury te powinny zawierać m.in.:

  • cel, w jakim dana procedura została opracowana;
  • zakres stosowania procedury;
  • katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
  • opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
  • opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych[4].

Najpierw pojawia się zatem informacja o możliwości wystąpienia naruszenia. Może ona pochodzić z wewnątrz organizacji (np. powiadomienie pracownika o włamaniu do pomieszczenia, z którego prawdopodobnie skradziono nośniki danych) bądź spoza organizacji (np. anonimowy mail informujący o kradzieży danych z serwerów firmy). Zgodnie z wewnętrznymi procedurami każdy taki przypadek powinien podlegać sprawnej i szybkiej weryfikacji w celu ustalenia, czy faktycznie doszło do naruszenia ochrony danych osobowych. Nie wydaje się jednak, aby w każdym przypadku samo pojawienie się tego typu informacji należało uznać za stwierdzenie naruszenia ochrony danych osobowych. Przykładowo: zgłoszenie przez pracownika, że w obszarze przetwarzania danych osobowych prawdopodobnie przebywa osoba nieuprawniona, wymaga ustalenia, czy faktycznie doszło do takiej sytuacji. Następnie, w razie jej potwierdzenia, należałoby ustalić, czy spełnione są pozostałe przesłanki określone w art. 4 pkt 12 RODO. Jakkolwiek obecność osoby nieuprawnionej w obszarze przetwarzania danych będzie naruszeniem bezpieczeństwa, to nie wydaje się, aby w każdym przypadku skutkowało ono naruszeniem ochrony danych osobowych. Jeśli po analizie dostępnych informacji (np. nagrań z monitoringu, logów z sytemu informatycznego itp.) okaże się, że naruszenie to nie prowadziło do skutków, o których mowa w art. 4 pkt 12 RODO (w szczególności nie doszło faktycznie do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych), to – w ocenie autora – trudno zakwalifikować takie zdarzenie jako naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Stąd też wątpliwości budzi dokonana w Poradniku UODO ocena następującej sytuacji, przedstawionej tamże jako przykład naruszenia, w którym jednak nie wystąpiło ryzyko naruszenia praw i wolności osoby fizycznej:

Pracownik kancelarii przez pomyłkę wynosi poza jej obszar teczkę z niezabezpieczonymi danymi osobowymi, wśród których znajdują się również szczególne kategorie danych osobowych. Po chwili orientuje się, że nastąpiła pomyłka i wraca do kancelarii, zwracając teczkę. Działanie takie naruszyło zasady ochrony danych, ale nie mogło skutkować naruszeniem praw lub wolności osób fizycznych, gdyż dane nie zostały udostępnione[5].

Trudno jednoznacznie uznać, czy w cytowanym przykładzie w ogóle doszło do naruszenia ochrony danych osobowych. Niewątpliwie można uznać, że wystąpił pewnego rodzaju incydent bezpieczeństwa (jeśli dane nie powinny być wyniesione), jednak nie prowadził on raczej do wystąpienia skutków określonych w art. 4 pkt 12 RODO. Kwestię tę dostrzegła także Grupa Robocza Art. 29, która wskazała na różnicę pomiędzy incydentem bezpieczeństwu a naruszeniem ochrony danych osobowych[6].

Wiele problemów może dotyczyć ewentualnych naruszeń związanych z utratą dostępności danych. W Poradniku UODO zaznaczono, że „nie każda czasowa niedostępność danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych”[7]. Takie spojrzenie budzi wątpliwości. O ile bowiem planowana czasowa niedostępność danych (np. w związku z prowadzoną konserwacją systemu informatycznego) nie powinna być sama w sobie traktowana jako naruszenie, o tyle w przypadku niezamierzonego czasowego braku dostępności danych należałoby rozważyć, czy – w świetle definicji przyjętej w art. 4 pkt 12 RODO – faktycznie mamy do czynienia z naruszeniem ochrony danych osobowych.

Jakkolwiek chwilowy brak dostępu do danych (o ile nie jest powiązany z ich trwałą utratą) może rodzić negatywne konsekwencje dla podmiotu danych, to – w ocenie autora – nie wydaje się naruszeniem ochrony danych w rozumieniu definicji określonej w art. 4 pkt 12 RODO. Takie zdarzenie nie prowadzi bowiem do skutków określonych w art. 4 pkt 12 RODO, tj. do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Z całą pewnością można natomiast stwierdzić naruszenie ochrony danych osobowych w sytuacji, w której naruszenie dostępności ma charakter trwały.

Problem ten dostrzeżono także w doktrynie:

Bez względu na intensywność naruszenia i jego czysty czy mieszany charakter w wielu przypadkach od samego początku będzie wiadomo, że doszło do naruszenia poufności lub naruszenia integralności. Na tym tle inaczej wygląda kwestia naruszenia dostępności danych, gdyż wymaga to zbadania, czy istniejące zasoby pozwalają przywrócić dostęp lub odtworzyć dane. Niemniej zaburzenie dostępności zawsze powinno być uznawane za naruszenie dostępności, jeśli nastąpiła trwała utrata lub zniszczenie danych osobowych[8].

Należy jednak zauważyć, że odmienne stanowisko w tym zakresie zaprezentowała Grupa Robocza Art. 29. W jej opinii czasowa utrata dostępności danych stanowi rodzaj naruszenia i powinna być każdorazowo udokumentowana:

incydent bezpieczeństwa skutkujący utratą dostępu do danych osobowych przez określony czas również stanowi rodzaj naruszenia, ponieważ brak dostępu do danych może wywrzeć istotny wpływ na prawa i wolności osób fizycznych. (…). Naruszenie skutkujące tymczasową utratą dostępności danych powinno zostać udokumentowane zgodnie z art. 33 ust. 5, podobnie jak naruszenie skutkujące trwałą utratą lub zniszczeniem danych osobowych (lub dowolny inny rodzaj naruszenia).  (…) Zgodnie z art. 33 administrator jest zobowiązany do zgłoszenia naruszenia, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób fizycznych. Kwestię tę trzeba będzie oczywiście ocenić w poszczególnych przypadkach[9].

Z kolei rozwiązanie zaproponowane w Poradniku UODO niejako odwraca kolejność działań, tj. przed ustaleniem, czy zdarzenie, do którego doszło, skutkuje naruszeniem ochrony danych osobowych, zaleca się przeprowadzenie oceny ryzyka dla praw lub wolności osób fizycznych w celu stwierdzenia, czy zdarzenie powinno zostać uznane za takie naruszenie, czy nie. Takie podejście wydaje się co najmniej kontrowersyjne. Stanowisko zawarte w Poradniku UODO w tym zakresie nie jest spójne, w dalszej części poradnika wskazano bowiem jednoznacznie, że „konsekwencją stwierdzenia naruszenia jest konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta pozwoli stwierdzić, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić osoby, których dane dotyczą, o naruszeniu)”[10]. W świetle wymogów określonych w art. 33 RODO analiza ryzyka naruszenia praw i wolności osób fizycznych powinna zatem mieć miejsce po stwierdzeniu naruszenia (w celu prawidłowego postępowania w razie stwierdzenia naruszenia, tj. ustalenia, czy istnieje obowiązek zawiadomienia organu lub także obowiązek poinformowania osób fizycznych), a nie na etapie samej kwalifikacji danego zdarzenia jako naruszenia ochrony danych osobowych.

Jeśli jednak czasowa utrata dostępu do danych mieści się w zakresie pojęcia wskazanego w art. 4 pkt 12 RODO (zgodnie ze stanowiskiem Grupy Roboczej Art. 29), należałoby konsekwentnie każdy taki incydent odnotowywać w wewnętrznej ewidencji prowadzonej zgodnie z wymogiem wynikającym z art. 33 ust. 5 RODO. W świetle wytycznych zawartych w Poradniku UODO można mimo to zasadnie przyjąć, że istnieją sytuacje, w których czasowej utraty dostępności danych w ogóle nie powinno się kwalifikować jako naruszenie, choć zawsze powinno się ją oceniać pod kątem ryzyka naruszenia  praw osób fizycznych.

Warto mieć przy tym na uwadze, że czasowe naruszenie dostępności danych osobowych może być wynikiem bardzo wielu czynników, w tym np. awarii oprogramowania, działania złośliwego oprogramowania, zamierzonego lub niezamierzonego błędu ludzkiego bądź też innych czynników, takich jak chwilowa przerwa w dostawie prądu czy awaria sieci w przypadku danych przechowywanych w zewnętrznej lokalizacji itp. Odnotowywanie wszystkich tego rodzaju zdarzeń (zwłaszcza przejściowych incydentów technicznych lub fizycznych) w wewnętrznej ewidencji organizacji wydaje się działaniem nadmiarowym, które może stanowić duże obciążenie organizacyjne zwłaszcza dla większych podmiotów. Rodzi to daleko idące konsekwencje po stronie administratorów danych, którzy dla wykazania rozliczalności w każdym przypadku mieliby tego rodzaju incydenty dokumentować.

Poza tym powstaje także pytanie, czy chodzi o brak dostępności z punktu widzenia całej organizacji, czy np. także z punktu widzenia określonych użytkowników systemu informatycznego.

Na podstawie art. 32 ust. 1 lit. c) RODO administrator danych niewątpliwie zobowiązany jest zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, niemniej jednak należałoby dokładnie rozważyć, czy chwilowa niedostępność danych (o ile możliwe jest ich odtworzenie) powinna być rozpatrywana pod kątem naruszenia w świetle definicji określonej w art. 4 pkt 12 RODO, skoro nie następuje faktyczne zniszczenie lub utrata tych danych.

Jeśli chodzi o moment stwierdzenia naruszenia, trafne wydaje się stanowisko zaprezentowane przez Grupę Roboczą Art. 29 zgodnie z którym takie stwierdzenie następuje w momencie w którym administrator uzyskał wystarczającą dozę pewności co do tego, że doszło do incydentu bezpieczeństwa, który doprowadził do naruszenia ochrony danych osobowych[11], zacytowane zresztą (niestety bez szerszego komentarza w tym zakresie) także w Poradniku UODO[12].

Tym samym „stwierdzenie” wystąpienia naruszenia musi być zależne od konkretnych okoliczności, a samo postępowanie ma charakter wieloetapowy. Można zatem, jak się wydaje, przyjąć (mimo skrótowego ujęcia tej problematyki w Poradniku UODO), że:

  1. Samo uzyskanie przez administratora danych informacji o potencjalnym incydencie nie powinno być uznane za stwierdzenia naruszenia, chyba że informacja ta od samego początku nie budzi żadnych wątpliwości.
  2. Informacja o incydencie obliguje jednak administratora danych do niezwłocznego podjęcia działań w celu jej zweryfikowania pod kątem wystąpienia ewentualnego naruszenia ochrony danych (co powinno być określone w ramach wewnętrznej procedury w organizacji).
  3. W momencie, w którym można stwierdzić, że istnieje „wystarczający stopień pewności”, iż zdarzenie zagrażające bezpieczeństwu doprowadziło faktycznie do naruszenia ochrony danych osobowych, należy stwierdzić wystąpienie takiego naruszenia (od tego momentu powinien być także, jak się wydaje, liczony termin 72 godzin na notyfikację do organu nadzorczego).

Powstaje także pytanie, czy dla wykazania rozliczalności administrator powinien w każdym przypadku odnotowywać w wewnętrznej ewidencji informacje o potencjalnym incydencie, czy też jedynie stwierdzone naruszenia – za czym przemawiałaby literalna wykładnia art. 33 ust. 5 RODO. W Poradniku UODO przesądzono wprost jedynie o konieczności odnotowywania wszystkich naruszeń, w tym także takich, które w ocenie administratora danych nie podlegają obowiązkowi notyfikacji.

Obowiązki podmiotu przetwarzającego

W Poradniku UODO bardzo pobieżnie odniesiono się do obowiązków spoczywających na podmiotach przetwarzających. W dobie powszechnego outsourcingu usług (w tym związanych z przetwarzaniem danych osobowych) coraz częściej występują w praktyce sytuacje powierzenia, a także dalszego powierzenia (podpowierzenia) przetwarzania danych.

Skuteczność i szybkość działań, w tym ewentualnych działań wyjaśniających w razie wystąpienia naruszenia, w znacznym stopniu zależy od jakości współpracy pomiędzy administratorem a podmiotem lub podmiotami przetwarzającymi. Ponadto kluczowe czynności związane z wyjaśnianiem okoliczności konkretnych zdarzeń niejednokrotnie będą realizowane w przeważającej mierze właśnie przez podmiot przetwarzający.

Istotne wątpliwości budzi kwestia ustalenia momentu, od którego należy liczyć termin na zgłoszenie przez administratora naruszenia w przypadku, gdy zostało one stwierdzone u podmiotu przetwarzającego. Wydaje się, że można przyjąć, iż termin ten powinien być liczony od momentu poinformowania administratora o naruszeniu przez podmiot przetwarzający[13], jakkolwiek nie jest wykluczone, że termin ten powinno się jednak liczyć od momentu stwierdzenia naruszenia u podmiotu przetwarzającego. Brak jest jednoznacznego stanowiska w Poradniku UODO w tym zakresie.

W razie przyjęcia, że termin ten należy liczyć od momentu stwierdzenia naruszenia przez podmiot przetwarzający, szczególnie kłopotliwe może być wywiązanie się z tego obowiązku w przypadku dużej liczby dalszych podmiotów przetwarzających (tzw. podprocesorów).

Wprawdzie obowiązek zgłoszenia naruszenia do organu nadzorczego spoczywa na administratorze danych, jednakże możliwe wydaje się przyjęcie, że dokonywanie takiego zgłoszenia (w imieniu administratora) będzie realizowane bezpośrednio przez podmiot przetwarzający, o ile zostałby on do tego upoważniony. Szczegółowe uregulowanie tych kwestii może znaleźć się w umowie powierzenia przetwarzania danych osobowych zawartej na podstawie art. 28 ust. 3 RODO. Wydaje się to szczególnie uzasadnione w sytuacjach, w których całość procesu przetwarzania danych odbywa się de facto po stronie podmiotu przetwarzającego, stąd też to ten podmiot powinien dysponować wszelkimi niezbędnymi informacjami w tym zakresie. Na możliwość przyjęcia takiego rozwiązania wskazała m.in. Grupa Robocza Art. 29[14]. Choć odpowiedzialność za stwierdzenia naruszenia, a następnie za dokonanie właściwej oceny ryzyka i zgłoszenie naruszenia do organu nadzorczego (lub także za poinformowanie osób) spoczywa na administratorze danych, nie można wykluczyć, że w jego imieniu całość lub część tych obowiązków (w oparciu o stosowne postanowienia umowne) będzie realizował podmiot przetwarzający.

W Poradniku UODO nie rozstrzygnięto powyższych kwestii; zaznaczono jedynie, że podmiot przetwarzający w ogóle nie zgłasza naruszeń organowi nadzorczemu, a jego rola ogranicza się w zasadzie do przekazania dostępnych informacji administratorowi.

Informowanie organu nadzorczego o naruszeniu

W Poradniku UODO wyliczono cztery sposoby zgłaszania naruszeń:

  • elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl,
  • elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP,
  • elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
  • tradycyjną pocztą poprzez wysłanie wypełnionego formularza na adres Urzędu.

Stosowanie elektronicznego formularza nie jest obowiązkowe, jednak z uwagi na jego usystematyzowany charakter jest preferowane przez organ nadzorczy. Kluczowe w tym względzie jest jednak, aby zgłoszenie zawierało elementy wymagane przez art. 33 ust. 3 RODO.

Informowanie osób o naruszeniu

Zgodnie z art. 34 ust. 1 RODO niezwłoczne zawiadomienie osoby fizycznej o naruszeniu jest konieczne wyłącznie w sytuacjach, w których naruszenie może powodować wysokie ryzyko naruszenia jej praw lub wolności. Udzielenie informacji (zgodnie z zasadą przejrzystości) ma w szczególności uświadomić takiej osobie, że doszło do określonego naruszenia, w tym przede wszystkim (zgodnie z motywem 86 RODO) umożliwić podjęcie niezbędnych działań zapobiegawczych.

Tym samym stosowne informacje powinny być przekazywane wyłącznie w sytuacjach, w których ryzyko naruszenia praw lub wolności jest wysokie. Opis charakteru naruszenia ochrony danych osobowych powinien być zwięzły oraz jasno sformułowany, tak aby był zrozumiały i przejrzysty dla przeciętnego odbiorcy. Wreszcie zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków powinny być w każdym przypadku adekwatne do zaistniałych okoliczności.

W świetle powyższego wątpliwości budzi wskazany przez UODO przykład, zgodnie z którym zgubienie lub wręczenie niewłaściwej osobie (w tym omyłkowe, także osobie znanej administratorowi) danych osobowych w zakresie imienia i nazwiska oraz numeru PESEL co do zasady wiąże się z wysokim ryzykiem dla osoby, której danej dotyczą:

W ocenie Prezesa UODO sytuacja, w której […] korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. Można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, że nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnych z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące[15].

Ujawnienie (zwłaszcza omyłkowe – osobie znanej administratorowi, która zobowiązała się do niewykorzystywania danych) wyłącznie takich kategorii danych jak imię i nazwisko oraz numer PESEL (o ile jednocześnie nie zostały ujawnione inne kategorie danych, takie jak numer dokumentu tożsamości, imiona rodziców itp.) trudno za każdym razem z góry uznawać za naruszenie skutkujące wysokim ryzykiem naruszenia praw i wolności osoby fizycznej. Należy tu mieć na uwadze, że w odniesieniu do osób reprezentujących podmioty prawa handlowego (takich jak członkowie organów, prokurenci) dane te i tak są jawne i udostępniane za pośrednictwem Centralnej Informacji KRS zgodnie z art. 8 ust. 2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym[16]. Z informacji dostępnych na stronie organu nadzorczego wynika przy tym, że w jego ocenie należałoby podjąć prace nad ograniczaniem ujawniania numeru PESEL (w tym w ramach rejestrów publicznych)[17].

Jak wskazuje praktyka, w przypadkach, w których w jego ocenie błędnie nie poinformowano osób, których danych dotyczą, o wystąpieniu naruszenia (lub nie udzielono im wszystkich niezbędnych informacji), Prezes UODO kieruje do administratorów danych wystąpienie na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[18] (dalej: „Ustawa”) z zaleceniem przekazania tym osobom stosownych informacji.

W tego typu wystąpieniach organ zwraca się o podjęcie określonych działań (np. o ponowne zawiadomienie osób, których dane dotyczą, o naruszeniu bądź o przekazanie tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków itp.). W niektórych sytuacjach zalecenia organu mogą sprawiać wrażenie rutynowych instrukcji, formułowanych nie zawsze adekwatnie do okoliczności. Przykładowo: nadmiarowe wydaje się informowanie o ryzyku kradzieży tożsamości w przypadku jednorazowego, omyłkowego otwarcia korespondencji, która została następnie niezwłocznie zwrócona, przez osobę nieuprawnioną, a także sugerowanie potrzeby zgłaszania właściwym organom, np. Policji, faktu naruszenia w celu zapobieżenia tzw. kradzieży tożsamości, zanim do takiej kradzieży faktycznie doszło. Dlatego też wydaje się, że w Poradniku UODO niewystarczająco podkreślono konieczność udzielania adekwatnych i wyważonych informacji. Osobom, których dane dotyczą, powinny być sygnalizowane wyłącznie realne zagrożenia oraz rozsądne działania, jakie mogą one podjąć w związku z konkretnym naruszeniem.

Podawanie nadmiarowych, wyolbrzymiających skalę incydentu informacji może odnieść skutek odwrotny do zamierzonego. Po pierwsze bez potrzeby może wzbudzić w osobie, której dane dotyczą, nieuzasadniony niepokój co do realnego ryzyka niezgodnego z prawem przetwarzania jej danych osobowych. Po drugie w przypadku wystąpienia w przyszłości incydentu realnie zagrażającego prawom i interesom takiej osoby, może ona zbagatelizować przekazane jej w takiej sytuacji ostrzeżenia, co tylko zwiększy niebezpieczeństwo naruszenia jej praw i interesów.

Stosowana przez Prezesa UODO praktyka może sugerować obowiązek realizacji tego rodzaju „zaleceń” formułowanych w wystąpieniu przez organ nadzorczy. Warto mieć tutaj jednak na uwadze, że podmiot, który nie zgadza się z postulatami wskazanymi przez organ nadzorczy w wystąpieniu skierowanym na podstawie art. 52 ust. 1 Ustawy, nie ma obowiązku ich realizacji, a jedynie obowiązek udzielenia odpowiedzi na wystąpienie w terminie 30 dni (przy czym naruszenie tego terminu nie jest zagrożone żadną sankcją). Należy oczywiście pamiętać, że brak reakcji na wystąpienie może wiązać się ze skorzystaniem przez organ z innych uprawnień określonych w przepisach (np. tych ujętych w rozdziale 9 Ustawy).

Wydaje się ponadto, że w przypadku wystąpienia wątpliwości w zakresie przestrzegania stosowania przepisów RODO organ nadzorczy powinien  (np. na podstawie uzyskanych informacji lub w ramach monitorowania o którym mowa art. 78 ust. 2 Ustawy) – przeprowadzić postępowanie kontrolne w szczególności w celu ustalenia, czy administrator poprawnie ocenił ryzyko naruszenia praw i wolności osoby fizycznej, a nie z góry zalecać podjęcie konkretnych działań bez dokładnego sprawdzenia stanu faktycznego. Trudno bowiem uznać, że organ nadzorczy, opierając się wyłącznie na informacjach zawartych w zgłoszeniu naruszenia, jest w stanie rzetelnie ocenić prawidłowość przyjętych przez administratora rozwiązań. Dopiero w razie stwierdzenia w toku kontroli naruszenia przepisów RODO organ powinien wszcząć postępowanie administracyjne zakończone wydaniem decyzji administracyjnej nakazującej np. zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych.

[1] Poradnik dostępny jest pod adresem https://uodo.gov.pl/pl/134/1029

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119/1 z 04.05.2016, s.1)

[3] W Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) Grupa Robocza Art. 29  wskazała na trzy rodzaje naruszeń ochrony danych osobowych: 1) naruszenie dotyczące poufności danych; 2) naruszenie dotyczące integralności danych; 3) naruszenie dotyczące dostępności danych (s.8) Autor korzystał z dokumentu w wersji dostępnej na stronie https://uodo.gov.pl/pl/10/12   

[4] Urząd Ochrony Danych Osobowych, Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, wersja 1.0, maj 2019, s. 5.

[5] Tamże, s. 14

[6] W Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) Grupa Robocza Art. 29  wskazała, że „co do zasady, choć wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych [wyróżnienie NN]” s. 8

[7] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 4

[8] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018

[9] Grupa Robocza Art. 29, Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01), s. 9

[10] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 13

[11] Grupa Robocza Art. 29, Wytyczne dotyczące…, s. 12-13

[12] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 13

[13] Tak można odczytywać Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01): „„Administrator korzysta z usług podmiotu przetwarzającego, aby realizować wyznaczone cele; dlatego też zasadniczo należy przyjąć, że administrator <<stwierdził>> wystąpienie naruszenia w momencie, w którym podmiot przetwarzający poinformował go o jego wystąpieniu.” (s. 15)

[14] Grupa Robocza Art. 29, Wytyczne dotyczące…, s. 16

[15] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 17-18

[16] Tekst jedn.: Dz. U. z 2018 r., poz. 986 ze zm.

[17] Stanowiska dostępne pod adresem https://uodo.gov.pl/pl/138/1098 oraz https://uodo.gov.pl/pl/138/1120

[18] Dz. U. z 2018 r., poz. 1000 ze zm.

06 maj 2019

Ustawa sektorowa zapewniająca stosowanie RODO a zmiany w Prawie bankowym

W dniu 4 maja 2019 r. weszła w życie długo oczekiwana ustawa zmieniająca szereg innych ustaw której celem jest dostosowanie polskiego porządku prawnego do uwarunkowań wynikających z wejścia do stosowania ogólnego rozporządzenia o ochronie danych. Najwięcej kontrowersji na etapie prac legislacyjnych wzbudziły m.in. projektowane zmiany Prawa bankowego w zakresie przepisów dotyczących przetwarzania danych osobowych do celów oceny zdolności kredytowej i analizy ryzyka kredytowego.

****

Mowa o Ustawie z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanej dalej „Ustawą Sektorową”. Po przyjęciu nowej Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych uchwalenie Ustawy Sektorowej stanowi kontynuację działań polskiego ustawodawcy zmierzających do zapewnienia skutecznego stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej jako „RODO”), a w niektórych przypadkach do usunięcia przepisów, które są z RODO sprzeczne lub powielają rozwiązania w nim przyjęte. W sektorze finansowym zmiany wprowadzono m.in. w Ustawie z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej jako „pr. bank.”).

Zmiany dotyczące przeprowadzania oceny zdolności kredytowej i analizy ryzyka kredytowego

W pierwszej kolejności należy zwrócić uwagę na przepisy, na gruncie których m.in. banki, SKOK-i, inne instytucje upoważnione do udzielania kredytów, instytucje pożyczkowe czy Biuro Informacji Kredytowej będą mogły podejmować decyzje w oparciu wyłącznie o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie, w procesie dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 1a–1c pr. bank.). W praktyce oznacza to, że np. decyzja o udzieleniu kredytu lub pożyczki przez bank będzie mogła zapaść w sposób w pełni zautomatyzowany (bez ingerencji ludzkiej) na podstawie danych i informacji posiadanych przez bank, w wyniku zastosowania odpowiednich algorytmów. Gdyby nie wprowadzono omawianych przepisów, wymienione w nich instytucje, w tym przede wszystkim banki, musiałyby – przed dokonaniem oceny zdolności kredytowej opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych – pozyskać wyraźną zgodę osoby ubiegającej się o kredyt lub pożyczkę (ewentualnie argumentować, że taka zautomatyzowana decyzja jest niezbędna do zawarcia lub wykonania umowy, co w większości przypadków wydaje się trudne do obrony). Dzięki wprowadzonym przepisom uprawnienie do dokonywania takiej oceny wynika obecnie bezpośrednio z przepisów prawa i nie istnieje potrzeba poszukiwania innej podstawy prawnej dla takich działań. Powyższe zmiany uwzględniają fakt, że polski rynek finansowy, w tym bankowy, jest jednym z najbardziej zaawansowanych technologicznie w Unii Europejskiej, a wprowadzone zmiany powinny wpływać pozytywnie na efektywność procesu badania i oceny ryzyka związanego z przyznaniem kredytu lub pożyczki.

Ustawowe uprawnienie do podejmowania – w określonych przypadkach – decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, wynika z art. 22 ust. 2 lit. b RODO. Przepis ten jednocześnie wymaga, aby prawo państwa członkowskiego wprowadzające takie uprawnienie przewidywało właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Do takich środków, przewidzianych w art. 105a ust. 1a pr. bank., należy zaliczyć nałożony na banki oraz inne instytucje wymienione w tym przepisie obowiązek zapewnienia osobie, której dotyczy decyzja podejmowana w zautomatyzowany sposób, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. Warto zwrócić uwagę, że ochrona danych osobowych klientów banków, w tym danych pozyskanych na etapie badania zdolności kredytowej, zapewniona jest również w przepisach o tajemnicy bankowej (art. 104 pr. bank.), której naruszenie może skutkować odpowiedzialnością administracyjną, cywilną oraz karną.

Zautomatyzowane decyzje w procesie dokonywania oceny zdolności kredytowej oraz analizy ryzyka kredytowego mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu – tak wprost stanowi dodany w Ustawie Sektorowej art. 105a ust. 1b pr. bank. Przepis ten jest spójny z określoną w art. 5 ust. 1 lit. c) RODO zasadą minimalizacji danych, zgodnie z którą przetwarzanie danych osobowych musi być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Rządowy projekt Ustawy Sektorowej, przygotowany przez Ministerstwo Cyfryzacji i przekazany pod obrady sejmu, zakładał wprowadzenie zamkniętego katalogu danych, w oparciu o które możliwe byłoby podejmowanie decyzji bazujących na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego. Takie rozwiązanie wywołało szeroki sprzeciw środowiska bankowego, z którego płynęły głosy, że jego przyjęcie prowadziłoby do naruszenia funkcjonujących obecnie złożonych modeli scoringowych (punktowych) stosowanych w celu ustalenia wiarygodności kredytowej wnioskujących o kredyt, które uwzględniają również czynniki inne niż wymienione wprost w katalogu ustawowym. Przyjęta ostatecznie wersja przepisów Ustawy Sektorowej określa przykładowy (otwarty) katalog danych, na podstawie których możliwe będzie podjęcie w pełni zautomatyzowanej decyzji dotyczącej przyznania kredytu. W każdym jednak przypadku kredytodawca powinien być w stanie wykazać, że dane przetwarzane w celu oceny zdolności kredytowej oraz analizy ryzyka kredytowego są do osiągnięcia tego celu niezbędne, co powinno zapobiegać ich nadmiernemu wykorzystaniu. W ustawie określono również, że do celów podejmowania zautomatyzowanych decyzji dotyczących przyznania kredytu nie mogą być przetwarzane szczególne kategorie danych, o których mowa w art. 9 RODO (tzw. dane wrażliwe), takie jak dane genetyczne, dane dotyczące zdrowia, dane ujawniające pochodzenie rasowe, poglądy polityczne, przekonania religijne czy światopoglądowe.

Niezależenie od tego, czy decyzja o udzieleniu kredytu jest podejmowana w sposób zautomatyzowany, czy przy udziale człowieka, banki oraz inne instytucje ustawowo upoważnione do udzielania kredytów są zobowiązane, na wniosek podmiotu ubiegającego się o kredyt, przekazać mu w formie pisemnej wyjaśnienie dotyczące oceny jego zdolności kredytowej. Obowiązek ten wynika z wprowadzonego Ustawą Sektorową art. 70a pr. bank. Dotychczas możliwość uzyskania tego rodzaju wyjaśnień przysługiwała wyłącznie przedsiębiorcom (na podstawie uchylonych ust. 5 i 6 w art. 70 pr. bank.), obecnie zaś jest otwarta również dla konsumentów. Wyjaśnienia powinny zawierać informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. W przypadku wnioskujących o kredyt będących konsumentami przekazanie wyjaśnień ma być bezpłatne, natomiast w przypadku przedsiębiorców ewentualna opłata za sporządzenie wyjaśnień powinna być odpowiednia do wysokości kredytu.

Przetwarzanie danych osobowych na potrzeby tzw. systemów antyfraudowych

W wyniku wejścia w życie Ustawy Sektorowej zmianie uległo brzmienie art. 106d pr. bank., który dotyczy przetwarzania i udostępniania informacji w ramach tzw. systemów antyfraudowych. W myśl tego przepisu instytucje udzielające finansowania (kredytów, pożyczek, leasingu) mogą wymieniać między sobą informacje dotyczące podejrzeń popełnienia przestępstw na ich szkodę. W wyniku dodania ust. 2 w art. 106d pr. bank. podmioty wymienione w art. 106d ust. 1 pr. bank. będą uprawnione do przetwarzania, w tym udostępniania, informacji dotyczących wyroków skazujących dotyczących przestępstw dokonywanych na szkodę podmiotów udzielających finansowania, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom. Wprowadzenie takiego ustawowego uprawnienia ma związek z art. 10 RODO, który stanowi, iż przetwarzanie danych osobowych dotyczących wyroków skazujących lub naruszeń prawa jest możliwe wyłącznie pod nadzorem władz publicznych lub jeżeli jest dozwolone prawem Unii Europejskiej lub państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą (w zakresie, w jakim te dane są objęte reżimem tajemnicy bankowej, wydaje się, że wymóg zapewnienia odpowiednich zabezpieczeń jest w przepisach prawa realizowany).

Dodatkowo w zakresie, w jakim przetwarzanie danych osobowych przez instytucje wymienione w art. 106d ust. 1 pr. bank. jest niezbędne do prawidłowej realizacji zadań dotyczących zapobiegania przestępstwom, wyłączone zostało prawo dostępu do informacji o przetwarzaniu danych osobowych, o którym mowa w art. 15 RODO. Możliwość takiego wyłączenia opiera się na art. 23 ust. 1 RODO, który pozwala na ograniczenie zakresu praw i obowiązków określonych w art. 12–22 RODO, jeżeli takie ograniczenie nie narusza istoty podstawowych praw i wolności oraz jest środkiem niezbędnym, proporcjonalnym i służącym zapobieganiu przestępczości oraz wykrywaniu i ściganiu czynów zabronionych.

Przetwarzanie danych osobowych osób pełniących kluczowe funkcje w banku

W wyniku wejścia w życie Ustawy Sektorowej banki zobowiązane są do identyfikowania – obok członków zarządu i rady nadzorczej – innych kluczowych funkcji w ramach organizacji. W świetle art. 22aa ust. 10 pr. bank. przez kluczowe funkcje należy rozumieć te, z którymi związany jest zakres obowiązków, uprawnień i odpowiedzialności umożliwiający wywieranie znaczącego wpływu na kierowanie bankiem. Obowiązkiem banku jest zapewnienie, że osoby pełniące kluczowe funkcje posiadają wiedzę, umiejętności i doświadczenie odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków oraz dają rękojmię należytego wykonywania tych obowiązków. W Ustawie Sektorowej doprecyzowano, że wspomniana rękojmia odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny. Dodatkowo Ustawa Sektorowa wprowadza w przepisach art. 22aa ust. 11 pr. bank. katalog dokumentów, oświadczeń i informacji, jakich żąda się od osoby ubiegającej się o pełnienie kluczowej funkcji w banku (w tym członka zarządu i rady nadzorczej) w celu weryfikacji, czy taka osoba spełnia kryteria w zakresie rękojmi. Katalog wymaganych informacji jest stosunkowo szeroki i obejmuje m.in. informacje dotyczące sankcji administracyjnych nałożonych na kandydata, sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata, postępowań sądowych, które mogą mieć negatywny wpływ na reputację kandydata, oraz sposobu działania w życiu, środowisku i kontaktach zawodowych. Szczególnie ostatnia z wymienionych kategorii informacji może budzić pewne zastrzeżenia z uwagi na mało precyzyjne sformułowanie. Bank żąda powyższych dokumentów, oświadczeń i informacji niezależnie od tego, czy osoba, która ma pełnić kluczową funkcję w banku będzie jednocześnie zatrudniona na podstawie umowy o pracę (w takim przypadku w odniesieniu do danych zbieranych od kandydata niezależnie stosuje się przepisy Kodeksu pracy, w szczególności art. 221 Kodeksu pracy), czy też będzie sprawować funkcję na podstawie innego stosunku prawnego. Dane osobowe zawarte w powyższym katalogu mogą być przechowywane nie dłużej niż 25 lat.

Podsumowując, wprowadzone Ustawą Sektorową zmiany w Prawie bankowym należy ocenić zasadniczo pozytywnie. Na aprobatę zasługuje otwarcie katalogu danych osobowych, na podstawie których banki oraz inne instytucje udzielające finansowania będą mogły podejmować zautomatyzowane decyzje dotyczące oceny zdolności kredytowej i analizy ryzyka kredytowego. Należy mieć przy tym nadzieję, że przewidziane w ustawie środki ochrony osób, których dane dotyczą, takie jak prawo do otrzymania informacji o podstawach podjętej decyzji oraz uzyskania interwencji ludzkiej w celu ponownego rozpatrzenia wniosku, będą stanowić realne zabezpieczenie przed nieprawidłowymi decyzjami lub przynajmniej umożliwią ich ewentualną korektę. Podobnie słuszne wydaje się wprowadzenie dodatkowych wymogów związanych z badaniem rękojmi osób, które mają istotny wpływ na funkcjonowanie branży finansowej w kraju, czyli osób pełniących w bankach – jako instytucjach zaufania publicznego – kluczowe funkcje. To rozwiązanie powinno przyczynić się do wzmocnienia bezpieczeństwa sektora bankowego poprzez dopuszczenie do pełnienia tych funkcji tylko osób, które posiadają odpowiednią wiedzę i doświadczenie, zaś ich dotychczasowa postawa w życiu zawodowym dowodzi, iż spełniają wysokie standardy uczciwości, rzetelności i zdolności do prowadzenia spraw banku odpowiedzialnie i bezpiecznie.

20 lis 2018

Możliwości wyłączenia wtórnego obowiązku informacyjnego w świetle przepisów RODO

Jedną z naczelnych zasad ogólnego rozporządzenia o ochronie danych (RODO)[1] jest tzw. zasada przejrzystości[2], o której mowa w art. 5 ust. 1 lit. a) RODO. Zgodnie z tym przepisem dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą[3]. Emanację tej zasady stanowią w szczególności normy zawarte w art. 13 i 14 RODO, dotyczące realizacji obowiązków informacyjnych wobec osób, których dotyczą dane. W przepisach tych znajduje się zakres informacji, jakie administrator danych jest zobligowany przekazać osobie, której dane dotyczą, w związku z rozpoczęciem przetwarzania jej danych osobowych.

Dla administratorów danych szczególnie problematyczne wydają się te sytuacje, w których dane nie są zbierane bezpośrednio od osoby, której dotyczą, lecz z innego źródła. Wiążą się one bowiem z koniecznością realizacji tzw. wtórnego obowiązku informacyjnego (art. 14 RODO).

W przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), realizacja pierwotnego obowiązku informacyjnego w większości przypadków nie wydaje się bardzo kłopotliwa – właściwą klauzulę zazwyczaj łatwo przekazać w momencie zbierania danych, np. na formularzu służącym do ich zebrania. Poza tym pewnym ułatwieniem dla administratorów danych może być także „warstwowy” sposób realizowania obowiązku informacyjnego (tj. przekazanie w pierwszej kolejności najbardziej istotnych informacji dotyczących przetwarzania, takich jak tożsamość administratora, cele przetwarzania i przysługujące osobie prawa, wraz z odesłaniem do miejsca, w którym znajdują się informacje szczegółowe), pozytywnie zaopiniowany przez Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych (znaną szerzej pod nazwą Grupa Robocza Artykułu 29 – dalej jako „GR”) w wytycznych dotyczących przejrzystości[4]. Inaczej będzie jednak wyglądała sytuacja, w której dane pozyskiwane są z innego źródła, gdy administrator zmuszony jest do podjęcia dodatkowego wysiłku w celu skontaktowania się z osobą, której te dane dotyczą, i przekazania jej wymaganych przez art. 14 RODO informacji. W warunkach, w których administrator i tak musi skontaktować się z taką osobą (często wyłącznie w tym celu), wątpliwe może być stosowanie „warstwowych” klauzul informacyjnych. Ponadto trzeba mieć na uwadze, że – zgodnie z art. 14 ust. 3 lit. a) RODO – informacje, o których mowa w art. 14 ust. 1 i 2 RODO, powinny być przekazane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od pozyskania jej danych, co także stanowi pewnego rodzaju utrudnienie. Wypada także zauważyć, że niezależnie od literalnego brzmienia art. 14 ust. 3 lit. b) RODO, zgodnie z którym wtórny obowiązek informacyjny należy spełnić przy pierwszym kontakcie z osobą, której dotyczą dane, termin miesięczny nie może zostać przekroczony. Stanowisko takie prezentowane jest zarówno przez GR („jeżeli pierwsza komunikacja z osobą, której dane dotyczą, ma miejsce ponad miesiąc po pozyskaniu danych osobowych, wówczas artykuł 14 ust. 3 lit. a) nadal ma zastosowanie, tak że informacje z artykułu 14 muszą być podane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od ich pozyskania”)[5], jak i przez przedstawicieli doktryny („należy skłonić się do wniosku, że w każdym przypadku obowiązek informacyjny powinien być wykonany najdalej w przeciągu miesiąca albo wcześniej przy pierwszej komunikacji, albo przy pierwszym ujawnieniu danych”[6]). Osoba, której dane dotyczą, w większości przypadków może bowiem w ogóle nie zdawać sobie sprawy z tego, że jej dane osobowe zostały udostępnione innemu podmiotowi oraz jakie prawa przysługują jej w związku z przetwarzaniem jej danych osobowych. Już w poprzednim stanie prawnym, tj. na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., realizacja wtórnego obowiązku informacyjnego sprawiała wiele kłopotów administratorom danych. Trudno oczekiwać, że sytuacja ta istotnie się teraz zmieni. Tym bardziej należy więc przeanalizować wszystkie przypadki, w których przepisy RODO dopuszczają możliwość wyłączenia wtórnego obowiązku informacyjnego, gdyż w tym akurat zakresie przepisy uległy zmianie.

Z uwagi na szczególną specyfikę sytuacji, w których dane osoby pozyskiwane są ze źródeł innych niż ta właśnie osoba, w przepisach trafnie przyjęto, że prawo tej osoby do uzyskania informacji o przetwarzaniu jej danych osobowych nie ma charakteru absolutnego. W praktyce mogą zaistnieć różnego rodzaju okoliczności, w których wtórny obowiązek informacyjny będzie wyłączony. Kwestie te uregulowano w art. 14 ust. 5 RODO.

Każdy administrator danych, który pozyskuje dane ze źródła innego niż osoba, której te dane dotyczą, powinien zatem starannie rozważyć, czy w jego przypadku nie znajdzie zastosowania któreś z wyłączeń wskazanych w tym przepisie. Warto także zauważyć, że niektóre wyłączenia będą miały charakter całkowity, co oznacza, że administrator w żadnym razie nie będzie mógł udzielić informacji wskazanych w art. 14 ust. 1 i 2 RODO z własnej inicjatywy (w szczególności w przypadkach, w których informacje objęte są niektórymi tajemnicami zawodowymi), inne zaś – charakter częściowy, co oznacza, że administrator, stwierdziwszy, że spełniona została określona przesłanka wyłączająca obowiązek informacyjny, może uznać, że z uwagi na możliwość zastosowania wyłączenia nie będzie go spełniał, nawet jeśli w niektórych przypadkach byłoby to technicznie możliwe (gdyż np. osoba dysponuje już stosownymi informacjami lub udzielenie informacji wymagałoby niewspółmiernie dużego wysiłku). W takim przypadku osoba, której dotyczą dane, nadal jest jednak uprawniona do uzyskania informacji związanych z przetwarzaniem jej danych osobowych, a w przypadku wyłączenia, o którym mowa w art. 14 ust. 5 lit. b), może się z nimi zapoznać w inny sposób (np. na stronie internetowej).

RODO przewiduje aż cztery wyłączenia, z których każde ma charakter niezależny i powinno być traktowane osobno.

  • Osoba, której dotyczą dane, dysponuje już wszystkimi informacjami, które powinien jej przekazać administrator.

Wyłączenie to (podobnie jak wyłączenie wynikające z art. 13 ust. 4 RODO) opiera się na założeniu, że osobie, która posiada już wszystkie informacje, jakie powinien jej przekazać administrator, nie trzeba ich dostarczać ponownie.

Wydaje się, że praktyczne znaczenie tego wyłączenia w przypadku wtórnego obowiązku informacyjnego będzie raczej niewielkie. Po pierwsze, osoba, której dotyczą dane, musiałaby faktycznie posiadać wszystkie informacje, o których mowa w art. 14 ust. 1 i 2 RODO, aby obowiązek był wyłączony w całości. Po drugie, ciężar udowodnienia, że osoba ta dysponuje wszystkimi informacjami, o których mowa powyżej, zgodnie z zasadą rozliczalności spoczywa na administratorze danych. W praktyce trudno zatem wyobrazić sobie sytuacje, w których taki obowiązek można skutecznie w całości wyłączyć, a administrator będzie w stanie wykazać, że osoba dysponuje wszystkimi stosownymi informacjami. Poza tym w praktyce niejednokrotnie mogą zaistnieć sytuacje, w których administrator danych posiada już pewne informacje na temat konkretnej osoby fizycznej, otrzymane bezpośrednio od niej, jednak następnie pozyskuje na jej temat dane (w tym samym lub w innym celu) z innego źródła[7]. Jeśli osoba ta nie jest tego świadoma (tj. nie przekazano jej dotychczas wszystkich informacji wymaganych na podstawie art. 14 RODO), należałoby uznać, że zachodzi konieczność realizacji wtórnego obowiązku informacyjnego także w zakresie odnoszącym się do przetwarzania danych dodatkowych (choćby z uwagi na wymóg przekazania informacji o źródle danych).

  • Brak możliwości realizacji obowiązku informacyjnego lub niewspółmiernie duży wysiłek po stronie administratora danych.

Z praktycznego punktu widzenia najbardziej użyteczne dla administratorów danych może być wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO.

Zgodnie z tym przepisem wtórny obowiązek informacyjny jest wyłączony, gdy „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 [RODO], lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu [art. 14 RODO], może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie”.

Należy zwrócić uwagę, że z cytowanego przepisu wynika, iż wyjątek ten znajduje zastosowanie przede wszystkim w przypadkach przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. W żadnym razie nie można jednak odrzucić całkowicie możliwości powołania się na ten wyjątek w innych sytuacjach, wskazany katalog przykładów ma bowiem charakter otwarty. Niemniej jednak ocena, czy zachodzi „niewspółmiernie duży wysiłek” powinna być dokonywana in concreto – w odniesieniu do konkretnego administratora danych i konkretnego procesu przetwarzania danych osobowych.

Wydaje się, że we wszystkich sytuacjach, w których administrator nie posiada bezpośrednich danych kontaktowych osoby fizycznej, której dane pozyskał z innego źródła, zasadne jest przyjęcie, że realizacja wtórnego obowiązku informacyjnego nie jest możliwa. Wyłączenie wtórnego obowiązku informacyjnego wydaje się w takich przypadkach jak najbardziej trafne. Stanowisko takie – jeszcze w poprzednim stanie prawnym – zajął także ówczesny organ nadzorczy (GIODO), wskazując, że w razie braku danych kontaktowych osoby fizycznej wystarczającą formą spełnienia obowiązku informacyjnego w stosunku do osób, których dane dotyczą, może być umieszczenie stosownych informacji na stronie internetowej administratora danych[8].

Jako przykład (zob. ww. decyzja GIODO) można podać pozyskanie (np. do celów prowadzonej działalności gospodarczej) danych osób reprezentujących spółki prawa handlowego (członków organów, prokurentów itp.), które znajdują się w KRS. Kwestią otwartą pozostaje, na ile takie dane w ogóle będą stanowić dane osobowe podlegające pod reżim RODO, a na ile dane te można uznać za dane kontaktowe osób prawnych, o których mowa w motywie 14 preambuły RODO, a tym samym potencjalnie w całości wyłączyć stosowanie RODO. W tym zakresie pomocne byłoby z pewnością zajęcie stanowiska przez organ nadzorczy (PUODO). Niezależnie od powyższego należy jednak z całą pewnością stwierdzić, że w przypadku pozyskania danych osoby reprezentującej spółkę z rejestru przedsiębiorców KRS nie posiadamy danych kontaktowych takiej osoby, a jedynie dane kontaktowe spółki. Nie jest zatem możliwe spełnienie obowiązku informacyjnego względem osoby fizycznej, której takie dane dotyczą. Powyższe może dotyczyć także innych przypadków, w których administrator danych nie posiada bezpośrednich danych kontaktowych osoby fizycznej, przez co realizacja wtórnego obowiązku informacyjnego nie jest możliwa.

Warto mieć przy tym na uwadze, że zgodnie z zasadą minimalizacji danych administrator nie może przetwarzać więcej danych, niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 5 ust. 1 lit. c) RODO). W tym duchu należy także odczytywać motyw 57 preambuły RODO: „jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej, nie powinien on mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów niniejszego rozporządzenia”. Per analogiam w przypadku gdy administrator nie posiada danych kontaktowych osoby fizycznej, nie tylko nie ma on żadnego obowiązku, ale wręcz nie powinien pozyskiwać dodatkowych danych tylko w celu realizacji obowiązku informacyjnego.

W praktyce występować będą także sytuacje, w których administrator danych posiada dane kontaktowe danej osoby fizycznej, jednak można przyjąć, że zachodzi przesłanka niewspółmiernie dużego wysiłku przy jego realizacji (tzw. nadmierna uciążliwość),  a obowiązek może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania, wobec czego powinien być on wyłączony. Przykładowo: banki niejednokrotnie będą przetwarzały dane kontaktowe odbiorcy przelewu (imię i nazwisko oraz adres), a zatem będą miały (przynajmniej teoretycznie) możliwość realizacji wtórnego obowiązku informacyjnego względem tej kategorii osób. Należy przyjąć, że odbiorca przelewu, co do zasady, nie posiada wszystkich informacji, o których mowa w art. 14 ust. 1 i 2 RODO (chociażby tych, które dotyczą celów czy podstaw prawnych przetwarzania jego danych), przy czym trudno wobec niego zastosować także wyłączenie realizacji obowiązku informacyjnego z uwagi na tajemnicę bankową (jako beneficjenta tej tajemnicy, o czym poniżej). Niemniej jednak w praktyce nie sposób wyobrazić sobie skuteczne realizowanie przez bank wtórnego obowiązku informacyjnego wobec tysięcy osób, których dane pozyskuje od swoich klientów na okoliczność składanych dyspozycji przelewów. Jedynym rozsądnym rozwiązaniem w takiej sytuacji wydaje się więc wyłączenie wtórnego obowiązku informacyjnego właśnie z uwagi na nadmierną uciążliwość, mimo że dane nie są przetwarzane do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych ani do celów statystycznych.

Niewątpliwie warto rozważyć zastosowanie wyłączeń z art. 14 ust. 5 lit. b) RODO także w innych przypadkach, w których realizacja obowiązku informacyjnego byłaby (przynajmniej teoretycznie) technicznie możliwa, jednak z przyczyn związanych z nadmierną uciążliwością nie jest zasadna. Jako przykład może posłużyć pozyskiwanie danych kontaktowych przedsiębiorców, pracowników lub współpracowników przedsiębiorców, w sytuacji gdy przetwarzany jest bardzo ograniczony zakres tzw. danych wizytówkowych (służbowych), takich jak imię i nazwisko, stanowisko, służbowy adres e-mail czy służbowy numer telefonu. Bezpośrednia realizacja wtórnego obowiązku informacyjnego w normalnych kontaktach biznesowych (jakkolwiek niekiedy praktykowana) nie tylko wydaje się w takich sytuacjach sztuczna, ale wręcz utrudnia zwyczajne kontakty biznesowe w obrocie gospodarczym, gdzie firmy często udostępniają dane kontaktowe swoich pracowników lub współpracowników w umowach, ofertach, zapytaniach itp. Rozsyłanie ogromnych ilości e-maili zawierających klauzule informacyjne czy to w treści głównej, czy to w nadmiernie rozbudowanej stopce wiadomości należy uznać za uciążliwe nie tylko dla nadawców, ale przede wszystkim dla odbiorców takich komunikatów.

Warto mieć także na uwadze, że w przypadku skorzystania z tego wyłączenia administrator jest zobowiązany podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnić informacje publicznie (np. poprzez zamieszczenie klauzuli informacyjnej na stronie internetowej).

  • Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą

Wyłączenie, o którym mowa w art. 14 ust. 5 lit. c) RODO, może powodować spore wątpliwości interpretacyjne (podobnie jak wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO). O ile stosunkowo łatwo stwierdzić, że w niektórych sytuacjach pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii Europejskiej lub prawem państwa członkowskiego, o tyle powstaje pytanie, co należy rozumieć przez „odpowiednie środki chroniące prawnie uzasadnione interesy osób, których dotyczą dane”. Wydaje się jednak, że postulat dotyczący konieczności zapewnienia „odpowiednich środków”, o których mowa powyżej, powinien być adresowany w pierwszej kolejności do prawodawcy. Trudno bowiem oczekiwać, aby – przykładowo – administratorzy danych zobowiązani na mocy stosownych przepisów do przetwarzania (pozyskiwania lub ujawniania) danych osobowych mieli ponosić negatywne konsekwencje niedoskonałości tych przepisów czy zaniedbań po stronie prawodawcy. Zasadne wydaje się zatem przyjęcie, że wyłączenie wtórnego obowiązku informacyjnego powinno znaleźć zastosowanie we wszystkich przypadkach, w których przepisy obligują podmioty (nie tylko publiczne) do pozyskiwania określonych danych osobowych nie od osoby, której dane dotyczą, lub ujawniania tych danych. Trudno jednak stwierdzić, czy taki punkt widzenia podzieli organ nadzorczy.

Jednocześnie warto zauważyć, że w poprzednio obowiązującym stanie prawnym przepisy niekiedy przewidywały całkowite wyłączenie wtórnego obowiązku informacyjnego (por. art. 25 ust. 1 ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.). Jako przykład można podać art. 41 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (który prawdopodobnie zostanie niebawem uchylony).

W obecnej wersji projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679[9] takie wyłączenie przewidziano wyłącznie w ograniczonym zakresie w art. 7 ust. 4 Ustawy z dnia 25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego[10].

  • Tajemnice zawodowe

Ostatnie z wyłączeń określonych w RODO związane jest z koniecznością zapewnienia poufności danych osobowych z uwagi na zapisany w prawie Unii lub w prawie państwa członkowskiego obowiązek zachowania tajemnicy zawodowej, w tym z uwagi na ustawowy obowiązek zachowania tajemnicy. Z całą pewnością będzie ono dotyczyć osób zawodowo świadczących usługi prawne, takich jak adwokaci czy radcowie prawni (z uwagi na tajemnicę adwokacką i radcowską, o których mowa odpowiednio w art. 6 ustawy Prawo o adwokaturze[11] i art. 3 ustawy o radcach prawnych[12]). Przepis ten może oczywiście znaleźć zastosowanie m.in. w odniesieniu do osób świadczących usługi detektywistyczne (z uwagi na art. 12 ust. 1 ustawy o usługach detektywistycznych[13]) czy też w wszędzie tam, gdzie określone przepisy wprowadzają obowiązek zachowania tajemnicy zawodowej, jak np. tajemnica dotycząca postępowania przygotowawczego, określona w art. 102 par. 1 ustawy Prawo o prokuraturze[14].

Należy mieć jednak na uwadze, że w przypadku niektórych tajemnic zawodowych wyłączenie, o którym mowa w art. 14 ust 5 lit. d) RODO, nie znajdzie zastosowania wobec wszystkich osób, których dotyczą dane. W niektórych sytuacjach osobę, której dane dotyczą, należy bowiem traktować jako beneficjenta tajemnicy zawodowej, a tym samym osobę uprawnioną do uzyskania informacji na własny temat. Przykładowo – zgodnie z art. 104 ust. 3 ustawy Prawo bankowe[15] – banku nie obowiązuje, z zastrzeżeniem ust. 4 i 4a, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą (np. osoby będącej odbiorcą przelewu bankowego).

Podobnie ma się rzecz w przypadku tajemnicy ubezpieczeniowej – art. 35 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (dalej jako „u.d.u.r.”)[16] wyłącza tajemnicę ubezpieczeniową wobec określonych kategorii podmiotów, w tym „ubezpieczającego, ubezpieczonego, a w przypadku zgłoszenia wystąpienia zdarzenia losowego, z którym umowa wiąże odpowiedzialność zakładu ubezpieczeń – także uprawnionego z umowy ubezpieczenia” (art. 35 ust. 2 pkt 20) u.d.u.r.). Wydaje się zatem, że wobec niektórych kategorii osób (w szczególności ubezpieczonego) nie ma możliwości wyłączenia wtórnego obowiązku informacyjnego z uwagi na tajemnicę ubezpieczeniową. Na wniosek ubezpieczonego dane objęte tajemnicą ubezpieczeniową mogą być mu ujawnione, tym samym nie sposób zastosować w stosunku do niego wyłączenia, o którym mowa w art. 14 ust. 5 lit. d) RODO.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).

[2] Wszystkie wyróżnienia w tekście, w tym także w obrębie cytatów, pochodzą od autora.

[3] Zob. Grupa Robocza Artykułu 29 ds. Ochrony Danych, „Wytyczne dotyczące przejrzystości na mocy rozporządzenia 2016/679”,  https://uodo.gov.pl/pl/10/434, dostęp: 16.11.2018.

[4] Tamże.

[5] Tamże.

[6] Byrski J., Outsourcing w działalności dostawców usług płatniczych, CH Beck, Warszawa 2018, s. 390.

[7] Przykładem może być pozyskiwanie danych klienta wnioskującego o kredyt przez bank z Biura Informacji Kredytowej w celu oceny zdolności kredytowej kredytobiorcy.

[8] Zob.: Decyzja GIODO z dnia 12 lipca 2016 r., DIS/DEC-587/16/62309.

[9] Projekt z 22 października 2018 r. Zob. https://legislacja.rcl.gov.pl/projekt/12302951.

[10] Tekst jedn.: Dz. U. z 2018 r., poz. 1243 ze zm.

[11] Ustawa z dnia 26 maja 1982 r. Prawo o adwokaturze (tekst jedn.: Dz. U. z 2018 r., poz. 1184 ze zm.).

[12] Ustawa z dnia 6 lipca 1982 r. o radcach prawnych (tekst jedn.: Dz. U. z 2018 r., poz. 2115).

[13] Ustawa z dnia 6 lipca 2001 r. o usługach detektywistycznych (tekst jedn.: Dz. U. z 2017 r., poz. 556 ze zm.).

[14] „Prokurator jest obowiązany zachować w tajemnicy okoliczności sprawy, o których w postępowaniu przygotowawczym, a także poza jawną rozprawą sądową, powziął wiadomość ze względu na swoje stanowisko prokuratora”.

[15] Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn.: Dz. U. z 2017 r., poz. 1876 ze zm.).

[16] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (tekst jedn.: Dz. U. z 2018 r., poz. 999 ze zm.).

28 lip 2017

Projekt implementacji dyrektywy PSD2 – pierwsze uwagi i opinie

Trwają prace nad projektem ustawy zmieniającej ustawę o usługach płatniczych, której zasadniczym celem jest implementacja do polskiego porządku prawnego dyrektywy PSD2. Dla rynku usług płatniczych jest to regulacja kluczowa, określi ona bowiem jego kształt i zasady funkcjonowania na najbliższe lata. O powszechnym zainteresowaniu projektem może świadczyć liczba uwag i propozycji zmian wniesionych w ramach jego pierwszych konsultacji publicznych.

****

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 (dalej jako „dyrektywa PSD2”)[1], której termin implementacji w państwach członkowskich mija 13 stycznia 2018 r., jest kolejnym krokiem w kierunku unifikacji reguł w zakresie świadczenia usług płatniczych na terenie UE. Uznaje się, że rozwój zintegrowanego rynku usług płatniczych, zwłaszcza płatności elektronicznych, ma zasadnicze znaczenie dla wzrostu unijnej gospodarki oraz zapewnienia użytkownikom tych usług wysokiego poziomu bezpieczeństwa przeprowadzanych transakcji przy jednoczesnym wspieraniu rozwoju innowacyjnych technologii w dziedzinie płatności.

Dnia 21 czerwca 2017 r. na stronach Rządowego Centrum Legislacji opublikowano raport[2] z konsultacji projektu ustawy zmieniającej ustawę o usługach płatniczych (dalej jako „Projekt”), która stanowić będzie akt prawny implementujący do polskiego porządku prawnego dyrektywę PSD2. Poszczególni interesariusze zostali zobowiązani przez Ministerstwo Finansów do zaproponowania konkretnych zmian do 5 lipca 2017 r. Obecnie trwa oczekiwanie na przedstawienie zweryfikowanej wersji Projektu.

Najważniejsze zmiany, jakie niesie ze sobą Projekt, polegają na:

  1. wprowadzeniu nowych kategorii usług płatniczych: usługi inicjowania transakcji płatniczej (ang. payment initiation service – dalej jako „PIS”) oraz usługi dostępu do informacji o rachunku (ang. account information service – dalej jako „AIS”); obie usługi funkcjonują w praktyce rynkowej, jednak zasady i sposób ich świadczenia nie były dotychczas regulowane; w uproszczeniu: usługi te umożliwiają użytkownikowi zlecenie wykonania transakcji lub uzyskanie dostępu do informacji dotyczących jego rachunku płatniczego bez konieczności bezpośredniego kontaktu z dostawcą prowadzącym rachunek (np. bankiem) – komunikacja odbywa się pomiędzy dostawcą prowadzącym rachunek a dostawcą usługi PIS/AIS;
  1. wprowadzeniu obowiązku stosowania silnego uwierzytelniania użytkownika przez dostawcę usług płatniczych w momencie uzyskiwania zdalnego dostępu do rachunku płatniczego, inicjowania transakcji płatniczej lub dokonywania innych czynności, które mogą się wiązać z ryzykiem oszustwa lub nadużycia; szczegółowe wymogi w obszarze stosowania silnego uwierzytelnienia oraz przypadki, gdy można od niego odstąpić, zostaną określone w regulacyjnych standardach technicznych (ang. regulatory technical standards – dalej jako „RTS”), opracowywanych przez Europejski Urząd Nadzoru Bankowego, a zatwierdzanych przez Komisję Europejską;
  1. modyfikacji zakresu wyłączeń z obowiązku stosowania przepisów ustawy o usługach płatniczych (dalej jako „u.u.p.”)[3], w tym z obowiązku posiadania odpowiedniego zezwolenia, dla określonych rodzajów działalności, w ramach których występuje element pośrednictwa w realizacji płatności; zmiany dotyczą przede wszystkim możliwości skorzystania z wyłączeń dla tzw. agentów handlowych (dotychczasowy art. 6 pkt 1 u.u.p.), ograniczonej sieci akceptacji (dotychczasowy art. 6 pkt 11 u.u.p.) oraz wyłączenia dla przedsiębiorców telekomunikacyjnych (dotychczasowy art. 6 pkt 12 u.u.p.);
  1. modyfikacji zasad odpowiedzialności za transakcje nieautoryzowane polegającej na dalszym wzmocnieniu pozycji konsumenta względem dostawcy usług płatniczych, w szczególności gdy ten ostatni nie zastosował silnego uwierzytelnienia, oraz na obniżeniu progu odpowiedzialności płatnika za straty spowodowane nieautoryzowanymi transakcjami ze 150 do 50 euro;
  1. wprowadzeniu małej instytucji płatniczej jako nowej kategorii dostawcy usług płatniczych; ta forma prowadzenia działalności ma stanowić odpowiedź na potrzebę stworzenia przyjaznego środowiska regulacyjnego dla podmiotów chcących rozpocząć działalność w obszarze usług płatniczych; bezpieczeństwo funkcjonowania całego systemu płatniczego zapewniać ma narzucenie na tego rodzaju działalność określonych ograniczeń: limitu 1,5 mln euro dla średniej wartości transakcji płatniczych wykonywanych miesięcznie w odniesieniu do poprzednich 12 miesięcy oraz limitu kwoty środków przechowywanych na rachunku płatniczym dla jednego użytkownika w wysokości 2 tys. euro;
  1. nałożeniu na dostawców usług płatniczych nowych obowiązków informacyjnych wobec użytkowników oraz obowiązków raportowych wobec organów nadzorujących (KNF, NBP).

Przewidziane w Projekcie zmiany będą miały wpływ na bardzo szeroki katalog podmiotów, poczynając od banków, przez instytucje płatnicze, biura usług płatniczych, operatorów bankomatów, a kończąc na podmiotach, których działalność podlegała dotychczas wyłączeniu z reżimu ustawowego, oraz przedsiębiorcach, którzy dopiero planują rozpoczęcie działalności polegającej na świadczeniu jednej z usług płatniczych i szukają odpowiedniej formy jej prowadzenia. Niewątpliwie każda z wymienionych grup ma nieco inne interesy oraz obszary, na których korzystnym uregulowaniu szczególnie jej zależy, co potwierdza analiza zaproponowanych zmian. Poniżej wskazujemy na wybrane postulaty przedstawione przez uczestników rynku.

Uwagi Związku Banków Polskich dotyczą m.in. potrzeby doprecyzowania przypadków, w których wymagane jest przeprowadzenie silnego uwierzytelnienia użytkownika, tak aby było ono nieodzowne w sytuacji uzyskiwania dostępu do rachunku online, a nie – jak w pierwotnej treści Projektu – „w sposób zdalny”, co mogłoby rozszerzać obowiązek stosowania silnego uwierzytelniania np. na przypadek uzyskiwania dostępu do rachunku za pośrednictwem call center. Banki podkreślają także brak przepisów dokładnie określających, w jaki sposób bank prowadzący rachunek klienta może zweryfikować, czy klient udzielił zgody na wykonanie transakcji płatniczej (PIS) lub uzyskanie dostępu do rachunku przez dostawcę usługi AIS. ZBP wskazuje wreszcie na nieprawidłową i niekorzystną dla dostawcy usług płatniczych implementację przepisów dyrektywy PSD2 dotyczących rozkładu ciężaru dowodu w przypadku zaistnienia transakcji nieautoryzowanych.

Fundacja Rozwoju Obrotu Bezgotówkowego zwraca uwagę m.in. na konieczność doprecyzowania, na kim spoczywa obowiązek informacyjny dotyczący opłaty za wypłatę gotówki w bankomacie, ponieważ treść Projektu sugeruje, że powinien on dotyczyć wydawcy instrumentu płatniczego, podczas gdy dyrektywa PSD2 wyraźnie wskazuje, iż powinien on być nałożony na niezależnych operatorów bankomatów. Krytyce poddano zapis regulujący zasady odpowiedzialności agentów oraz insourcerów wobec instytucji płatniczych jako nieznajdujący odpowiednika w treści dyrektywy PSD2, a jednocześnie mogący ograniczać zainteresowanie podwykonawstwem przy świadczeniu usług płatniczych i niekorzystnie wpływać na funkcjonowanie rynku płatniczego. Za nieuzasadnione uznano również wprowadzenie limitu środków przechowywanych przez małą instytucję płatniczą na rachunku (2 tys. euro), który w praktyce może uniemożliwić tym podmiotom świadczenie usługi acquiringu. Ograniczenie to FROB uznaje za nadmiarowe, zwłaszcza w kontekście drugiego limitu, dotyczącego maksymalnej średniej wartości transakcji, oraz sprzeczne z postulatem łatwości prowadzenia działalności przez małe instytucje płatnicze.

Polska Organizacja Niebankowych Instytucji Płatności proponuje m.in. redukcję obciążeń (w obszarze utrzymania funduszy własnych) nakładanych na instytucje płatnicze oraz instytucje pieniądza elektronicznego udzielające kredytów płatniczych, która pozwoliłaby tym podmiotom na konkurowanie z instytucjami pożyczkowymi, na których nie ciążą żadne podobne zobowiązania. PONIP postuluje również uzupełnienie definicji rachunku płatniczego poprzez wprowadzenie wyłączenia z jej zakresu rachunków prowadzonych wyłącznie w celu obsługi udostępniania odbiorcy środków z transakcji płatniczej, inicjowanej przez lub za pośrednictwem tego odbiorcy, które to wyłączenie ma w istocie rzeczy dotyczyć rachunków prowadzonych dla akceptantów przez agentów rozliczeniowych świadczących na ich rzecz usługę acquiringu.

Z kolei European Fintech Forum zwraca szczególną uwagę na niejednoznaczność i ogólnikowość przepisów umożliwiających podmiotowi prowadzącemu rachunek traktowanie (na zasadzie wyjątku) w sposób dyskryminujący zleceń składanych za pośrednictwem dostawcy usługi PIS czy też zapisów umożliwiających odmowę dostępu do informacji o rachunku dla dostawcy usługi AIS. EFF podnosi, że brak precyzyjnych zapisów w tym obszarze może prowadzić do nadużyć ze strony podmiotów prowadzących rachunki oraz do zaburzenia konkurencyjności między tymi podmiotami a dostawcami usług PIS/AIS.

W uwagach zgłaszanych przez różnych uczestników rynku pojawiały się postulaty wprowadzenia okresu przejściowego w związku z zakresem i złożonością zmian, jakie przewiduje Projekt. Podkreślano w nich również konieczność doprecyzowania zasad stosowania obowiązku silnego uwierzytelniania użytkownika i komunikacji pomiędzy dostawcami usług płatniczych prowadzącymi rachunek a dostawcami usług PIS/AIS w okresie między wejściem w życie Projektu a wejściem w życie odpowiednich RTS, które będą szczegółowo regulować te zagadnienia.

Powyżej omówiono jedynie niektóre propozycje zmian i problemy zasygnalizowane przez wybranych uczestników konsultacji. Swoje wnioski zgłosiły również inne organizacje branżowe (PIIT, ZFP, ZPiP, Konfederacja Lewiatan), organy nadzorujące działalność dostawców usług płatniczych (KNF, NBP) oraz inne zainteresowane podmioty. Aktualnie Projekt wrócił do dalszych prac w Ministerstwie Finansów. Ze względu na zbliżający się termin wdrożenia dyrektywy PSD2 byłoby wskazane, aby Ministerstwo udostępniło kolejną wersję dokumentu jeszcze w sierpniu 2017 r.


[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz. Urz. UE L 337 z 23.12.2015, s. 35).

[2] https://legislacja.rcl.gov.pl/docs//2/12298151/12432062/12432065/dokument294747.pdf.

[3] Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (tekst jedn.: Dz. U. z 2016 r. poz. 1572 ze zm.).

25 kw. 2017

Interpretacja pojęcia „trwałego nośnika” w działalności instytucji finansowych

Pod koniec marca 2017 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów (dalej: „Prezes UOKiK”) wydał stanowisko zawierające istotny pogląd w sprawie umowy pożyczki zawieranej na odległość pomiędzy instytucją finansową a konsumentem. Stanowisko Prezesa UOKiK odwołuje się do problematyki wykładni definicji „trwałego nośnika” występującej na gruncie wielu aktów prawnych. Przedstawiony pogląd ma charakter o tyle kluczowy, iż prowadzi do rygorystycznej interpretacji pojęcia „trwałego nośnika”, która istotnie wpłynie na funkcjonowanie wielu instytucji finansowych.

****

Tło faktyczne

Istotny pogląd w sprawie sporu konsumenta z Creamfinance Poland (pożyczkodawcą) wydany został przez Prezesa UOKiK w ramach toczącego się postępowania o sygn. III Ca 529/16, prowadzonego przez Sąd Okręgowy w Nowym Sączu. W przedmiotowej sprawie pożyczkodawca wystąpił do sądu z żądaniem zasądzenia od konsumenta na jego rzecz kwoty odpowiadającej pozostałej do spłaty pożyczki wraz z odsetkami ustawowymi. Na skutek zgłoszonego roszczenia konsument wystąpił do sądu z powództwem wzajemnym, w którym wystąpił o zasądzenie o Creamfinance Poland stosownej kwoty z tytułu skorzystania z sankcji kredytu konsumenckiego w związku z niedochowaniem przez pożyczkodawcę wymogów wynikających z ustawy o kredycie konsumenckim.

W ramach toczącego się postepowania konsument skierował do Prezesa UOKiK wniosek o przestawienie istotnego poglądu w sprawie w zakresie interpretacji pojęcia „trwałego nośnika”. Według twierdzeń konsumenta znajdujące się na stronie internetowej oraz indywidualnym koncie użytkownika informacje związane z zawartą umową pożyczki nie zostały mu przekazane na trwałym nośniku, co spowodowało naruszenie obowiązków po stronie pożyczkodawcy.

Charakterystyka „trwałego nośnika”

Definicja „trwałego nośnika” przewidziana została w wielu aktach prawnych dotyczących regulacji praw i obowiązków w przypadku zawierania umów z udziałem konsumentów. Odpowiednimi przykładami w tym zakresie są: ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, ustawa z dnia 30 maja 2014 r. o prawach konsumenta oraz ustawa z dnia 12 maja 2011 r. o kredycie konsumenckim, która stanowiła podstawę rozbieżności interpretacyjnych, nad którą pochylił się Prezes UOKiK w ramach wydawanego przez siebie poglądu w sprawie.

Opierając się na brzmieniu zawartym w ostatnim z przytaczanych powyżej aktów prawnych poprzez pojęcie „trwałego nośnika” należy rozumieć: „materiał lub urządzenie służące do przechowywania i odczytywania informacji przekazywanych konsumentowi w związku z umową o kredyt, przez czas odpowiedni do celów jakim informacje te służą oraz pozwalające na odtworzenie tych informacji w niezmienionej postaci” (art. 5 pkt 17 u.k.k.). Podążając zatem za brzmieniem przepisu należy wskazać, że kluczowym w tym zakresie jest zapewnienie, by trwały nośnik umożliwiał przechowywanie dostarczonych informacji przez właściwy czas oraz by zapewniał on możliwość odtworzenia stosownych informacji w ich niezmienionej, pierwotnej postaci. Taka interpretacja zapewniać ma właściwą ochronę konsumentów w ramach zawierania przez nich umów z podmiotami profesjonalnymi, przy równoczesnym wskazaniu charakteru obowiązków informacyjnych, jakie mają zostać spełnione po stronie przedsiębiorcy, który zobligowany jest do dostarczenia konsumentowi stosownych informacji.

Stanowisko Prezesa UOKiK

Wyrażony przez Prezesa UOKiK istotny pogląd w sprawie doprowadził do przesądzenia, że strona internetowa przedsiębiorcy nie stanowi trwałego nośnika w rozumieniu ustawy o kredycie konsumenckim.

Podobne stanowisko przedstawione zostało także w kontekście indywidualnego konta użytkownika/ klienta prowadzonego w ramach serwisu internetowego przedsiębiorcy – stwierdzono, że nie spełnia ono wystarczających wymogów pozwalających na uznanie go za trwały nośnik w rozumieniu ww. ustawy.

Interpretacja Prezesa UOKiK zanegowała w pełni opinię wyrażoną przez Sąd I instancji (Sąd Rejonowy w Gorlicach; sygn. akt I C 675/15 upr), zgodnie z którą umieszczenie treści umowy i załączników na stronie internetowej jest równoznaczne z dostarczeniem jej na trwałym nośniku, gdyż konsument ma możliwość dokonania wydruku niezbędnych dokumentów. Prezes UOKiK – jak się zresztą wydaje słusznie – zauważył, że fakt możliwości samodzielnego wydrukowania dokumentów udostępnianych na stronie internetowej przedsiębiorcy nie ma żadnego znaczenia dla interpretacji pojęcia „trwałego nośnika”.

W kontekście analizy pojęciowej „trwałego nośnika” należy zauważyć, że sama ustawa mówi bowiem o dostarczeniu stosownych informacji. Takie sformułowanie wydaje się ukierunkowywać wykładnię przepisu ku poszukiwaniu aktywności po stronie podmiotu, który jest zobowiązany do przekazania informacji. Gdyby zatem podzielić pogląd Sądu I instancji, faktyczna aktywność wymaganych działań podejmowana byłaby przez konsumenta, a nie przedsiębiorcę, na którym ciąży obowiązek dostarczenia informacji.

Ponadto w kontekście omawianej sprawy kluczowe znaczenie ma, z jednej strony, kwestia czasowej dostępności dostarczanych informacji, a z drugiej strony, brak możliwości dokonywania w nich zmian.

Należy podkreślić, iż dostarczane przez przedsiębiorcę informacje na trwałym nośniku zapewnić mają do nich dostęp przez czas właściwy do celów, jakim informacje te służą. Z tego też względu sam fakt możliwości dostępu do informacji udostępnianych na indywidualnym koncie użytkownika w serwisie internetowym nie może zostać uznany za trwały nośnik informacji, gdyż dostęp do tego konta zostanie zablokowany względem użytkownika z chwilą zakończenia korzystania z usługi oferowanej przez przedsiębiorcę. Może być jednak konieczne uzyskanie dostępu do tych informacji ze względu na istnienie roszczeń, co do których termin przedawnienia jeszcze nie minął i które mogą być potencjalnie zgłoszone przez konsumenta w ramach dochodzenia przez niego swoich praw przed sądem.

Odnosząc się z kolei do drugiej cechy trwałego nośnika, jaką jest brak możliwości dokonywania zmian w dostarczanych informacjach, należy zauważyć, że w przypadku ich udostępniania w ramach prowadzonej przez przedsiębiorcę strony internetowej, czy też w ramach indywidualnego konta użytkownika, mogą być one (potencjalnie) edytowane przez przedsiębiorcę w dowolnym momencie, przy równoczesnym braku świadomości konsumenta o wprowadzanych modyfikacjach. Taki  stan rzeczy jest wysoce niepożądany z perspektywy konsumenta. Dostarczane przez przedsiębiorcę informacje nie są w takim przypadku w żaden sposób trwałe, gdyż ich zmiana możliwa jest w każdym czasie.

****

Wyrażony przez Prezesa UOKiK pogląd w sprawie wydaje się w istotny sposób wpływać na interpretację pojęcia „trwałego nośnika” występującą w polskim porządku prawnym. Jak sam zresztą wskazał on w swojej opinii, pomimo istnienia potrzeby każdorazowej analizy stanu faktycznego przemawiającego za koniecznością dokonania wykładni definicji „trwałego nośnika”, pojęcie to powinno być interpretowane i rozumiane tak samo na gruncie wszystkich przepisów służących ochronie konsumentów.

Nie sposób także pominąć faktu, że wyrażone stanowisko wpisuje się w dotychczasową wykładnię tego pojęcia na gruncie orzecznictwa unijnego (zob. wyrok TSUE z dnia 5 lipca 2012 r. w sprawie Content Services Ltd vs Bundesarbeitskammer, sygn. C-49/11). Doniosłość opinii przedkłada się bowiem na praktyczne wypełnianie obowiązków przez takie podmioty, jak chociażby banki/ skoki i inne instytucje finansowe, w tym instytucje płatnicze, które w ramach swojej działalności zobligowane są do wypełnienia rozległych obowiązków informacyjnych względem swoich klientów, w tym konsumentów. Zagadnienie to jest ponadto o tyle istotne, iż w ramach tak znaczącego rozwoju nowych technologii dostawcy usług płatniczych kierują się ku możliwie jak największej cyfryzacji w zakresie kontaktów ze swoimi klientami. Niemniej, należy pamiętać, że wszelkie wprowadzane przez nich innowacyjne rozwiązania powinny być dostosowane do obowiązujących przepisów prawa, co nie zawsze jest zadaniem prostym.

22 mar 2017

Silne uwierzytelnianie klientów (SCA) – mocniejsza ochrona klienta czy zmora dostawców usług płatniczych?

Z końcem lutego 2017 r. Europejski Urząd Nadzoru Bankowego (dalej: „EUNB”) uchwalił ostateczny projekt regulacyjnych standardów technicznych dotyczący silnego uwierzytelniania klientów oraz bezpiecznej komunikacji (dalej: „Standardy”). Początkowo dokument pojawić się miał z końcem stycznia 2017 r., jednakże ze względu na zbyt rygorystyczne regulacje spotkał się on z silnym sprzeciwem środowiska e-płatności. Dla podmiotów działających na rynku e-płatności Standardy stanowić będą jedno z kluczowych uregulowań wprowadzając obowiązek stosowania instytucji silnego uwierzytelniania w ramach obsługi rachunku płatniczego oraz przeprowadzania transakcji płatniczych.

****

Cel regulacji silnego uwierzytelniania

Zgodnie z motywami Standardów instytucja silnego uwierzytelniania stanowić ma podstawową metodę minimalizacji ryzyka oszustw w zakresie płatności elektronicznych. Jej wykorzystanie stanowić będzie zasadę zawsze, gdy dochodzić będzie do ujawnienia wrażliwych danych płatniczych, tj. danych potrzebnych do sprawdzenia salda rachunku lub historii transakcji płatniczych z ostatnich 90 dni. Z tego też względu korzystanie z procedury silnego uwierzytelniania nie będzie kwestią niezbędną jedynie w zakresie dokonania konkretnej płatności. Użytkownicy usług płatniczych będą mieli z nią do czynienia także w sytuacji uzyskania dostępu do swojego rachunku płatniczego.

Sama procedura uwierzytelniania poza wymogami technicznymi polegającymi na tworzeniu stosownych zabezpieczeń polegać ma również na wprowadzeniu funkcjonowania mechanizmu monitoringu transakcji, który pozwoli na wykrycie nieautoryzowanych lub oszukańczych operacji płatniczych. Tak rozbudowana struktura uwierzytelniania klientów ma za zadanie uściślić ochronę w zakresie działalności elektronicznych metod płatności.

Procedura silnego uwierzytelniania

Na gruncie Standardów zabezpieczenie operacji płatniczych przy użyciu silnego uwierzytelniania przybiera trójelementowy charakter. Wykorzystane środki opierają się na prostej koncepcji – coś co wiesz, coś co masz, coś czym jesteś. Wiedza stanowiąca pierwszą i w zasadzie fundamentalną część procedury uwierzytelniania odwoływać się ma np. do znajomości kodu PIN, potrzebnego do autoryzacji płatności. Posiadanie stanowiące kolejny element silnego uwierzytelniania dotyczy np. wykorzystania procedury potwierdzenia płatności przez posiadany smartfon użytkownika. Z kolei ostatnim, trzecim składnikiem, jest odwołanie się do zabezpieczeń biometrycznych polegających np. na wykorzystaniu odcisku palca użytkownika w ramach wykonywanej przez niego operacji płatniczej.

Zgodnie z ogólnymi założeniami każdy z powyższych składników jest w pełni niezależny od pozostałych, a złamanie jednego z nich nie wywiera żadnych negatywnych konsekwencji względem reszty. Procedura silnego uwierzytelniania klienta oparta ma być na wykorzystaniu minimum dwóch powyższych elementów, które następnie umożliwić mają wygenerowanie specyficznego kodu uwierzytelniającego. Kod ten ma zostać zaakceptowany przez dostawcę usług płatniczych tylko jednokrotnie w ramach uzyskiwania dostępu do konta online, rozpoczęcia transakcji płatniczej lub innej czynności związanej z obsługą konta, która mogłaby prowadzić do powstania ryzyka oszustwa albo innego nadużycia. Wygenerowany kod cechować ma się swoistymi wymogami polegającymi m.in. na niemożliwości jego podrobienia, czy też wygenerowania innego, który mógłby opierać się na tym poprzednim.

Standardy przewidują także podstawowe zasady wykorzystania procedury silnego uwierzytelniania klienta w ramach transakcji płatniczych. Z tego też względu liczba nieudanych prób uwierzytelniania ograniczona została do pięciu. Jeżeli użytkownik w sposób nieskuteczny przeprowadzi pięciokrotnie całą procedurę uwierzytelniania dochodzić ma do czasowego lub trwałego zablokowania elektronicznego instrumentu płatności. Z kolei maksymalny czas pozostawania bez jakiekolwiek aktywności ze strony płatnika na jego koncie online ograniczony został do maksymalnie pięciu minut liczonych od momentu skutecznego ukończenia procedury uwierzytelniania.

Warto także zwrócić uwagę, że Standardy narzucają na dostawców usług płatniczych inne wymogi związane z funkcjonowaniem kodów uwierzytelniających. Jednym z nich jest kwestia dynamicznego łączenia wygenerowanego kodu z kwotą transakcji oraz jej odbiorcą. Standardy bezpośrednio odwołują się także do obowiązku wprowadzenia odpowiednich środków umożliwiających zapewnienie poufności, autentyczności i integralności danych związanych z kwotą operacji płatniczej oraz odbiorcą płatności we wszystkich fazach procedury uwierzytelniania.

Wyjątki od stosowania procedury silnego uwierzytelniania

Standardy za ogólną zasadę przyjęły obowiązek korzystania z procedury silnego uwierzytelniania w celu zapewniania lepszej ochrony podmiotów korzystających z usług płatniczych oraz minimalizacji ryzyka oszustw i innych nadużyć z nimi związanych. Niemniej jednak przewidziany został szereg wyjątków, zgodnie z którym obowiązek ten został zniesiony. Warto jednakże wskazać, że możliwość niekorzystania z procedury silnego uwierzytelniania uzależniona została od innych czynników, które powinny zostać spełnione. Większość przewidzianych zwolnień obwarowana została szczegółowymi wymogami, które stanowić mają warunek konieczny skorzystania z opcji pominięcia procedury.

Po pierwsze, przypadkiem, który nie wymaga korzystania z procedury silnego uwierzytelniania jest transfer płatności w przypadku inicjacji całej operacji przez podmiot będący tą samą osobą fizyczną lub prawną zarówno po stronie płatnika jak i po stronie odbiorcy, a konta w ramach których dokonuje się płatności znajdują się u tego samego dostawcy usług płatniczych.

Po  drugie, podobne wyłączenie dotyczy także korzystania z samoobsługowych terminali płatniczych w ramach uiszczania opłaty za transport lub opłaty parkingowej. Przedmiotowe wyjątki odwołują się zatem do aspektów słusznościowych, którymi kierował się projektodawca w ramach przygotowywania Standardów – wprowadził on stosowne wyjątki, gdzie ryzyko nadużyć jest faktycznie niewielkie.

Po trzecie, do zwolnienia z obowiązku korzystania z procedury silnego uwierzytelniania dojdzie także wtedy, gdy w ramach dokonywanych operacji nie będą dostępne wrażliwe dane płatnicze, czyli dane dotyczące salda rachunku oraz historii transakcji z ostatnich 90 dni. Niemniej jednak wyjątek ten nie ma charakteru bezwzględnego, bowiem nie dotyczy sytuacji, w których użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku po raz pierwszy lub od ostatniego wykorzystania procedury silnego uwierzytelniania minęło ponad 90 dni. Zgodnie zatem z regulacją zawartą w Standardach obowiązek skorzystania z instytucji silnego uwierzytelniania powracać będzie każdorazowo minimum raz na 90 dni w ramach korzystania ze swojego rachunku płatniczego przez użytkownika.

Po czwarte, w ramach Standardów poruszono także bardzo istotną kwestię zwolnień z  obowiązku silnego uwierzytelniania podczas dokonywania tzw. transakcji o niskiej wartości. W  tym przypadku zwolnione od obowiązku korzystania z procedury będą wszelkie transakcje opiewające na kwotę niższą niż 30 euro. Warto zauważyć, że limit ten obowiązywać będzie także w przypadku kilku następujących po sobie transakcji płatniczych, jednakże ich łączna wartość nie może przewyższać 100 euro, a suma wszystkich operacji przekraczać 5 transakcji, na dzień. Podobne uregulowanie znalazło swoje odzwierciedlenie w kontekście zbliżeniowych płatności elektronicznych. Maksymalna kwota podczas operacji zwolnionej od obowiązku stosowania procedury silnego uwierzytelniania nie może przekraczać kwoty 50 euro, a kwota łącznych, występujących konsekwentnie po sobie transakcji wynosić ponad 150 euro lub przekraczać 5 operacji.

Analiza ryzyka transakcji a obowiązek silnego uwierzytelniania

Standardy poza obowiązkiem stosowania procedury silnego uwierzytelniania odwołują się także do potrzeby prowadzenia przez dostawców usług płatniczych mechanizmu monitoringu transakcji, którego zadaniem jest zapewnienie wykrywania nieautoryzowanych albo oszukańczych transakcji płatniczych. Mechanizm monitorowania transakcji ze swego założenia powinien być oparty na analizie transakcji płatniczych uwzględniając elementy typowe dla przeciętnego użytkownika usług płatniczych. Powinien on ponadto brać pod uwagę takie czynniki jak np. kwotę transakcji, listę zagrożonych lub ukradzionych składników uwierzytelniania, prawdopodobne scenariusze oszustwa, czy także oznaki infekcji złośliwym oprogramowaniem w ramach procedury uwierzytelniania.

Poza powyższymi wymogami mechanizm monitoringu transakcji obwarowany został dodatkowymi wymogami w przypadku podmiotów zwolnionych z obowiązku stosowania procedury silnego uwierzytelniania, ze względu na uznanie tego podmiotu za stwarzającego niski poziom ryzyka w ramach przeprowadzanych analiz ryzyka transakcji. Standardy określają szczególne warunki w ramach tworzenia analiz ryzyka transakcji wprowadzając m.in. trójstopniowy referencyjny wskaźnik transakcji oszukańczych. Podmioty mieszczące się w ramach konkretnych kategorii uznane za potencjalnie bezpieczne ze względu na niski wskaźnik oszustw mogą uzyskać prawo do zwolnienia z obowiązku silnego uwierzytelniania nawet w przypadku transakcji do kwoty 500 euro. Niemniej jednak zwolnienie z obowiązku stosowania procedury silnego uwierzytelniania w stosunku do podmiotów korzystających z analizy ryzyka transakcji uzależnione zostało od wielu innych czynników odwołujących się np. do analiz nietypowych lokalizacji płatnika lub analizy lokalizacji odbiorcy płatności, która nie wiążę się z dużym ryzykiem.

****

W artykule odwołano się jedynie do najistotniejszych postanowień zawartych w Standardach, które regulują kwestię silnego uwierzytelniania klientów i zwolnień od tego obowiązku. Możliwe jest dostrzeżenie, że nowa regulacja wprowadza istotne zmiany mające na celu zwiększenie ochrony użytkowników usług płatniczych, bez pozbawiania ich wygody i szybkości e-płatności. Ostateczne uchwalenie Standardów wiązać się będzie z obowiązkiem praktycznego dostosowania wielu mechanizmów wykorzystywanych obecnie przez dostawców usług płatniczych.

Pozytywnie należy ocenić chociażby zwolnienie z obowiązku silnego uwierzytelniania w  zakresie podmiotów, które posiadają niski wskaźnik ryzyka w ramach prowadzonej przez siebie działalności. Taka regulacja powinna sprzyjać mobilizacji intensyfikacji środków ochrony ze strony dostawców usług płatniczych, którzy chętnie korzystaliby z możliwości odstąpienia od procedury silnego uwierzytelniania w ramach obsługiwanych transakcji.

23 sty 2017

Centralna Baza Rachunków kolejnym elementem compliance rynku FinTech?

Od grudnia zeszłego roku trwają w Ministerstwie Rozwoju i Finansów prace nad ustawą, która ma w Polsce powołać do życia Centralną Bazę Rachunków (CBR). Baza ma objąć nie tylko dane pochodzące od regulowanych graczy rynku finansowego (banki, zakłady ubezpieczeń, instytucje płatnicze itd.), ale też od takich podmiotów jak… operatorzy Bitcoin!

****

Jak wskazuje uzasadnienie projektu podstawowym celem powołania CBR jest ułatwienie lokalizowania składników majątkowych pochodzących z przestępstw, a także umożliwienie szybszego uzyskiwania przez komorników sądowych i inne organy egzekucyjne informacji o miejscach przechowywania wartości majątkowych dłużników. Faktycznie, w Polsce nie istnieje centralny system informacji o rachunkach. Organy państwowe w celu uzyskania takich informacji muszą więc zwracać się bezpośrednio do podmiotów rynku finansowego lub korzystać z rozwiązań komercyjnych (np. bazy KIR S.A.). Proces ten jest z jednej strony kosztowny oraz – co bardziej problematyczne – czasochłonny. Z tej perspektywy inicjatywa stworzenia CBR jest więc słuszna i potrzebna. Zwłaszcza, że tego rodzaju centralne bazy z powodzeniem funkcjonują już w 9 Państwach Członkowskich Unii Europejskiej (a w kolejnych 4 trwają prace nad ich wprowadzeniem). A jak przedstawia się wizja CBR dla prywatnych podmiotów rynku finansowego i – jak zaprezentujemy poniżej także – innych rynków?

Instytucje zobowiązane do przekazywania CBR informacji o rachunkach

Wprowadzenie CBR – jak to zwykle bywa w przypadku tego rodzaju instytucji prawnych – dla szeregu podmiotów rynku finansowego będzie oznaczać wzrost obowiązków informacyjnych. W projekcie ustawy o Centralnej Bazie Rachunków (u.C.B.R.) podmioty te noszą nazwę instytucji zobowiązanych, a ich wyczerpujący katalog można znaleźć w art. 2 pkt 2 u.C.B.R. Instytucjami zobowiązanymi będą przede wszystkim banki, zakłady ubezpieczeń, instytucje płatnicze, instytucje pieniądza elektronicznego, SKOK (spółdzielcze kasy oszczędnościowo-kredytowe), czy firmy i fundusze inwestycyjne, a także polskie „podmioty oferujące produkty i usługi w zakresie przechowywania danych uwierzytelniających niezbędnych do uzyskania dostępu do walut wirtualnych” (o tych ostatnich będzie jeszcze dalej).

Pojęcie rachunku

Co uważniejszych czytelników na pewno zdziwiła informacja, że zakłady ubezpieczeń mają być zobowiązane do przekazywania CBR informacji o prowadzonych rachunkach. Zakłady te nie prowadzą przecież rachunków dla swoich klientów w potocznym rozumieniu tego słowa. Zgodnie z projektem za rachunek została jednak uznana umowa ubezpieczenia z elementami inwestycyjnymi (art. 2 pkt 5 lit. f u.C.B.R.). Bynajmniej nie jest to jedyny nieintuicyjny przykład „rachunku” w ramach omawianego projektu. Rachunkiem mają być też zbiory danych dotyczące transakcji realizowanych na rzecz danego uczestnika funduszu inwestycyjnego, umowa o udostępnienie skrytki sejfowej, czy wreszcie produkty lub usługi przechowywania danych uwierzytelniających do uzyskania dostępu do walut wirtualnych. Wbrew nazwie ustawy, wynikające z niej obowiązki będą więc musiały wykonywać nie tylko podmioty prowadzące „tradycyjne” rachunki (przy czym rachunki płatnicze, inne rachunki bankowe lub w SKOK, czy rachunki papierów wartościowych też zostały objęte zakresem u.C.B.R.), ale także podmioty prowadzące rachunki do walut wirtualnych.

Zakres informacji przekazywanych do CBR

Projekt zawiera obszerny katalog informacji, które instytucje zobowiązane będą musiały przekazywać do CBR (art. 8 u.C.B.R., zajmujący prawie 3 z 14 stron całego projektu). Informacje te obejmą dane o samym rachunku, ich posiadaczach (będących zarówno os. fizycznymi, os. prawnymi, jak i jednostkami nieposiadającymi osobowości prawnej), a także beneficjentach rzeczywistych posiadaczy (w rozumieniu przepisów AML). Skoro niezbędne będzie przekazywanie tych informacji do CBR, to znaczy, że instytucje będą musiały je wcześniej ustalić. A jeśli ustalić, to wprowadzić w tym celu odpowiednie procedury wewnętrzne w procesie zawierania umów z klientami. Wytrawni specjaliści compliance z pewnością szybko zauważą, że planowany zakres informacji przekazywanych do CBR w dużym stopniu pokrywa się z informacjami, których ustalenie wymagane jest przez ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (u.p.p.p.). Faktycznie, dla części podmiotów będzie to oznaczać istotne ograniczenie kosztów wdrożenia obowiązku informacyjnego do CBR, gdyż wiele wymaganych informacji podmioty te i tak już zbierają, i ustalają. Nie dotyczy to jednak wszystkich, gdyż jak zwykle diabeł tkwi w szczegółach. Po pierwsze, nie wszystkie instytucje zobowiązane w rozumieniu projektu są jednocześnie instytucjami obowiązanymi w rozumieniu u.p.p.p. Ponadto, polskie przepisy AML przewidują możliwość odstąpienia od ustalania tożsamości klientów i beneficjentów rzeczywistych w określonych sytuacjach (m.in. art. 9 u.p.p.p.), z czego szereg instytucji obowiązanych skrzętnie korzysta. Odstąpienie takie możliwe jest m.in. wobec niskokwotowego pieniądza elektronicznego, który może być przechowywany na rachunku. W końcu należy też wskazać, że żadna instytucja obowiązana nie ma bezwzględnego obowiązku ustalenia tożsamości beneficjenta rzeczywistego swoich klientów. Obowiązek ten jest bowiem obowiązkiem starannego działania (art. 8b ust. 3 pkt 2 u.p.p.p.). Projekt u.C.B.R. powyższych sytuacji jak na razie nie uwzględnia. W przypadku jego uchwalenia w obecnym kształcie dla wielu podmiotów będzie więc on oznaczać konieczność istotnej modyfikacji zasad prowadzenia działalności w celu rozpoczęcia ustalania danych klientów wymaganych do przekazania CBR.

Obowiązku informacyjnego do CBR nie warto będzie przy tym bagatelizować. Za brak przekazywania informacji lub błędne jego wykonanie projekt przewiduje z jednej strony surową karę pieniężną (do 1,5 mln PLN), a z drugiej sankcję karną do 3 lat pozbawienia wolności.

Waluty wirtualne

Waluty wirtualne stanowią jeden z goręcej dyskutowanych tematów dotyczących płatności. Nasza Kancelaria pisała o nich już wcześniej tutaj. Projekt u.C.B.R. zawiera pierwszą w historii polskiego prawodawstwa definicję wirtualnych walut (art. 2 pkt 6 u.C.B.R.). Brzmi ona tak: „waluta wirtualna – oznacza zbywalne prawo majątkowe, którego przedmiotem jest cyfrowa reprezentacja wartości, posiadająca swój ekwiwalent w środku płatniczym, traktowana jako środek wymiany i jednostka rozrachunkowa, nieposiadające statusu legalnego środka płatniczego i niebędące pieniądzem elektronicznym w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych, które może być przekazywane, przechowywane lub sprzedawane za środki płatnicze drogą elektroniczną”. Jasne jest, że celem przytoczonej definicji jest objęcie nią Bitcoin oraz podobnych mu walut (Litecoin, Dogecoin, Peercoin itd.). Sama konstrukcja tej definicji może jednak już budzić wątpliwości. Czy punkty w programach lojalnościowych mogą zostać uznane za walutę wirtualną? Czy waluty w grach komputerowych, czy serwisach społecznościowych? Czy ma to uzasadnienie w kontekście CBR? Niekoniecznie. Z pewnością natomiast nieintuicyjne jest regulowanie kryptowalut w takim akcie prawnym jak u.C.B.R. Waluty te są w pierwszej kolejności środkami płatniczymi (ew. lokatami kapitału) i powinny zostać uregulowane – o ile w ogóle – w odpowiednich dla tych instrumentów aktach prawnych.

Prace nad projektem powstania CBR można śledzić tutaj. Warto to robić. Po zakończeniu prac u.C.B.R. z pewnością zmieni krajobraz compliance dla wielu podmiotów regulowanego rynku finansowego w Polsce. Zanosi się również, że ustawa „wciągnie” w obszar regulacji nowe podmioty, w tym operatorów walut wirtualnych.

 

20 gru 2016

W świecie bitcoina

Jak wskazuje serwis bankier.pl „O bitcoinie głośno robi się, gdy mocno drożeje lub tanieje”. Powyższą tezę z pewnością należy uznać za trafną i aktualną, ponieważ w świetle danych z połowy grudnia 2016 r. cena bitcoina stale rośnie, proporcjonalnie do wzmocnienia wartości dolara amerykańskiego na świecie. Analizując powyższe zjawisko z prawnego punktu widzenia należałoby jeszcze dodać, że o bitcoinie robi się głośno także wtedy, kiedy pojawiają się informacje na temat opinii wydawanych przez ekspertów, w treści których analizuje się umiejscowienia bitcoina pośród krajowych i unijnych regulacji prawnych.

****

Zagadnienie umiejscowienia bitcoina na gruncie polskiego ustawodawstwa wciąż budzi emocje. Za sprawą członków grupy roboczej, pracującej w ramach strumienia „Blockchain i kryptowaluty” – powołanej w związku z wdrożeniem i realizacją przez Ministerstwo Cyfryzacji Programu „Od papierowej do Cyfrowej Polski” – doszło do wydania stanowiska w sprawie kierunków ewentualnych prac legislacyjnych i działań regulacyjnych instytucji publicznych.

Mechanizm „sandbox”

Analiza opinii ekspertów, zamieszczonej w treści dokumentu zatytułowanego „Przegląd polskiego prawa w kontekście zastosowań technologii rozproszonych rejestrów oraz walut cyfrowych”, pozwala na wyciągnięcie kilku istotnych wniosków dotyczących sytuacji bitcoina w Polsce.

Jak wynika z treści opinii, na chwilę obecną nie ma konieczności podejmowania prac nad stworzeniem odrębnego aktu prawnego, który byłby dedykowany problematyce walut cyfrowych. Niewątpliwie, pewne działania należy jednak podjąć, żeby zapewnić podmiotom korzystającym z walut wirtualnych długo wyczekiwaną przez nich stabilizację. Stabilizację istotną nie tylko z ekonomicznego, ale również prawnego punktu widzenia i to właśnie w związku z tym nasuwa się propozycja stworzenia odpowiednich regulacji, a raczej warunków rozwoju na miarę rozwiązania w stylu sandbox – tzw. piaskownicy regulacyjnej. To rozwiązanie jest korzystne z punktu widzenia promocji i rozwoju działalności startupów.

Do tej pory zastosowaniem mechanizmu sandbox może pochwalić się m.in. brytyjski prawodawca. Startupy działające w branży FinTech mają w Wielkiej Brytanii możliwość prowadzenia legalnej działalności, pomimo zastosowania pewnego rodzaju „obejścia” względem powszechnie obowiązujących wymogów regulacyjnych. W istocie korzystanie z sandbox daje możliwość uczestnictwa w takim rodzaju środowiska, w ramach którego wymienione podmioty mają możliwość przetestowania proponowanych przez siebie rozwiązań. Korzystają one m.in. z mechanizmów licencyjnych, dzięki czemu z jednej strony łatwiej im wkroczyć na rynek, a z drugiej strony zachować odpowiedni poziom legalności działań, który jest kluczowym wymogiem z punktu widzenia potencjalnych inwestorów.

Ku podobnemu rozwiązaniu skłania się grupa robocza Strumienia „Blockchain i kryptowaluty”, która w przedstawionym przez siebie stanowisku proponuje objęcie tego typu ochroną właśnie sektora nowych technologii związanego z blockchain, a więc i bitcoin. Na bardziej szczegółowe rekomendacje należy jednak jeszcze poczekać.

Rekomendacje grupy roboczej Strumienia „Blockchain i kryptowaluty”

Rozważając jednocześnie zakres działań, które należy podjąć w celu przygotowania podłoża do umocnienia pozycji bitcoina w Polsce, grupa robocza zarekomendowała wydanie przez Ministra Finansów ogólnej interpretacji podatkowej. Wydanie takiej interpretacji byłoby zdaniem ekspertów korzystne, ze względu na obawy które pojawiają się nie tylko wśród obywateli naszego kraju, ale również wśród zagranicznych inwestorów, a które wynikają z braku jednolitego stanowiska w zakresie stosowania prawa podatkowego w odniesieniu do obrotu kryptowalutami, w tym bitcoin.

Mając to na uwadze, warto odnieść się również do zaproponowanej rekomendacji unormowania definicji kryptowalut, którą bez wątpienia należy uznać za słuszną i celową. Uporządkowanie definicji i regulacji podatkowych mogłoby stanowić krok milowy w kierunku popularyzacji tego rodzaju narzędzia w charakterze szeroko pojętych instrumentów finansowych czy raczej praw majątkowych. Aktualnie próba przypisania wirtualnym walutom jakiejkolwiek definicji legalnej powoduje ryzyko konfuzji.

O ile wynika to z tego, że korzystanie z kryptowalut wiąże się niejako z ominięciem oficjalnego obiegu (jakim możemy określić ściśle regulowany obieg bankowy), o tyle można wnioskować, że nie oznacza to wcale konieczności umniejszenia atrakcyjności tego środka, który jest jednym z efektów postępującej dominacji nowych technologii.

Aktualność problemów prawnych związanych z korzystaniem z kryptowalut

Powyższy postulat ma szczególne znaczenie, ze względu na to, iż brak regulacji prawnych w tym zakresie nie jest zjawiskiem nowym. Wystarczy bowiem przypomnieć stanowisko Ministerstwa Finansów z 24 października 2014 r. wydane w odpowiedzi na pismo Instytutu Wiedzy i Innowacji, w sprawie zajęcia przez Ministra Finansów stanowiska w odniesieniu do opracowania zatytułowanego „Minimalne Standardy Bezpieczeństwa giełd bitcoinowych”.

W treści tego stanowiska, wydanego przeszło dwa lata temu, stwierdzono m.in. że problematyka funkcjonowania walut wirtualnych staje się coraz bardziej istotnym zagadnieniem w kontekście bezpiecznego i niezakłóconego działania rynku finansowego.

Podsumowując, można śmiało stwierdzić, że już w 2014 r. Ministerstwo Finansów było zainteresowane wypracowaniem jednolitych standardów zapewniających odpowiedni stopień bezpieczeństwa obrotu użytkownikom korzystającym z walut wirtualnych. Aktualnie problematyką zajmuje się Ministerstwo Cyfryzacji, realizując wspomniany już wcześniej Program „Od papierowej do Cyfrowej Polski”.

Warto przy tym podkreślić, iż osiągnięcie odpowiedniego poziomu stabilizacji rynkowej będzie wymagało nie tylko (chociażby częściowego) ujednolicenia przepisów, w tym przepisów podatkowych, ale odpowiednio także wypracowania ujednoliconych poglądów judykatury.

W chwili obecnej zakres korzystania z jednostek typu bitcoin jest bowiem analizowany na gruncie m.in. interpretacji indywidualnych wydawanych przez właściwych miejscowo i rzeczowo Dyrektorów Izb Skarbowych, a także na gruncie wyroków wydawanych przez sądy administracyjne.

Należy mieć jednak na uwadze, że problematyka korzystania z wirtualnych walut będzie coraz częściej występować jako zagadnienie, z którym będą musiały zmierzyć się również sądy powszechne. Już teraz wiadomo, że konieczne będzie dokonanie krytycznej oceny praktyki  korzystania z kryptowalut m.in. na gruncie prawa cywilnego, handlowego, a także – jak można przypuszczać, na gruncie prawa karnego. Tym bardziej wypracowanie jednolitych standardów obrotu będzie z niecierpliwością wyczekiwane przez wszystkich zwolenników wirtualnych walut, a dotychczas pozyskane przez nas know-how, związane z funkcjonowaniem blockchain, będziemy mogli wykorzystywać na coraz większą skalę.

19 gru 2016

Największa nowelizacja przepisów o usługach płatniczych tuż tuż

W dniu 9 grudnia 2016 r. został ostatecznie zakończony proces prac legislacyjnych nad nowelizacją ustawy o usługach płatniczych, której głównym celem jest dostosowanie polskiego prawa do dyrektywy o rachunkach płatniczych (Dyrektywy PAD) oraz unijnego rozporządzenia ws. opłat interchange (IF Reg). Nowe przepisy wejdą w życie zasadniczo 7 lutego 2017 r., choć niektóre z nich obowiązują już teraz.

****

Nowe przepisy (kryjące się pod nazwą ustawy z dnia 30 listopada 2016 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw) są efektem dwóch odrębnie prowadzonych procesów legislacyjnych (druk sejmowy nr 626 i druk nr 785). Procesy te zostały jednak połączone podczas prac w sejmowej Komisji Finansów Publicznych (Kancelaria uczestniczyła w tych pracach). Nowelizacja obejmuje więc zarówno zagadnienia związane z porównywalnością opłat za rachunki płatnicze, prowadzeniem tzw. rachunku podstawowego, czy przenoszeniem rachunku między dostawcami usług płatniczych (implementacja Dyrektywy PAD – Payment Account Directive), jak i zagadnienia dotyczące opłaty interchange, prowadzenia schematów płatniczych, czy sankcji za naruszenie przepisów IF Reg (wdrożenie IF Reg – Interchange Fee Regulation).

Jednocześnie wprowadzono szereg zmian w obszarach innych niż wymagane przepisami unijnymi, które dla wielu dostawców będą równie istotne. Dotyczy to m.in. wysokości wpłat instytucji płatniczych na pokrycie kosztów nadzoru Komisji Nadzoru Finansowego (KNF), zgody elektronicznej na ujawnienie informacji objętych tajemnicą płatniczą, czy numeracji niebankowych rachunków płatniczych przez Narodowy Bank Polski (NBP). Śmiało można więc mówić, że nowe przepisy stanowią rewolucyjną regulację rynku płatniczego w Polsce.

Implementacja Dyrektywy PAD

Podstawowym celem Dyrektywy PAD (jak i jej wdrożenia w Polsce) jest wzrost ubankowienia społeczeństwa. Ma temu służyć w pierwszej kolejności zapewnienie większej porównywalności informacji o rachunkach płatniczych, w tym kosztów związanych z prowadzeniem rachunku płatniczego. Nowelizacja przewiduje powstanie tzw. wykazu usług reprezentatywnych, które są powiązane z rachunkiem płatniczym. Wykaz ten obejmie ujednolicone pojęcia i definicje najbardziej popularnych wśród konsumentów usług tego rodzaju. Jednocześnie dostawcy usług płatniczych oferujący rachunek zostali zobowiązani do przekazywania konsumentom informacji dotyczącej opłat pobieranych za prowadzenie rachunku płatniczego, w tym za świadczone usługi zawarte w wykazie usług reprezentatywnych. Informacje te powinny być przekazywane w szczególności w ujednoliconej formie (przed zawarciem umowy jako tzw. dokument dotyczący opłat, natomiast w czasie trwania umowy jako tzw. zestawienie opłat), a także odrębnie od dotychczasowych obowiązków informacyjnych. Niezależnie od powyższego, ułatwieniu porównywania ofert różnych dostawców usług płatniczych oferujących rachunki (a więc banków, instytucji kredytowych, spółdzielczych kas oszczędnościowo-kredytowych (SKOK), instytucji płatniczych, instytucji pieniądza elektronicznego) ma służyć także wprowadzenie tzw. internetowych porównywarek rachunków płatniczych. Porównywarki takie będą mogły prowadzić w szczególności podmioty prywatne, które spełnią warunki określone nowymi przepisami.

Ubankowieniu społeczeństwa służyć ma również obowiązek oferowania tzw. podstawowego rachunku płatniczego. Obejmie on banki krajowe, oddziały banków zagranicznych, instytucje kredytowe i SKOK. Każdy  konsument, który nie posiada w Polsce rachunku w walucie polskiej u żadnego z tych podmiotów będzie mógł zwrócić się do nich o otwarcie podstawowego rachunku. Odmowa jego otwarcia będzie możliwa jedynie w ściśle określonych okolicznościach. Podstawowy rachunek płatniczy powinien być zasadniczo nieodpłatny. Powinien on jednocześnie umożliwiać realizację szeregu usług takich jak wpłata środków na rachunek, wypłata gotówki z rachunku, polecenia przelewu i polecenia zapłaty, a także korzystanie z karty płatniczej innej niż karta kredytowa. Usługi te powinny być dostępne w zakresie w jakim dany dostawca świadczy je w ramach prowadzenia innych rachunków. Zasady prowadzenia podstawowych rachunków płatniczych oraz procedury składania i rozpatrywania wniosków o ich otwarcie zostały przy tym dokładnie określone przepisami nowelizacji. Podczas prac parlamentarnych szeroko omawiana była kwestia ilości poleceń przelewu w ramach oferowanego nieodpłatnie rachunku podstawowego. Ostatecznie ustalone zostało pięć takich poleceń w miesiącu, mimo że pierwotnie Ministerstwo Finansów postulowało wprowadzenia aż piętnastu.

Celem Dyrektywy PAD jest również zwiększenie mobilności posiadaczy rachunków płatniczych. W wyniku jej implementacji zostały wprowadzone do ustawy o usługach płatniczych szczegółowe regulacje związane z przenoszeniem rachunków płatniczych. Określają one czynności, które muszą podjąć dostawcy uczestniczący w przeniesieniu rachunku płatniczego, w tym tryb i terminy ich podjęcia. Czynności te są różne w zależności czy dany dostawca występuje w roli dostawcy przekazującego rachunek, czy też dostawcy przyjmującego. Inne są też obowiązki dostawców w przypadku przenoszenia rachunku w obrębie Rzeczpospolitej Polskiej niż w przypadku przenoszenia rachunku do innego państwa członkowskiego UE. Dla banków powyższe zasady uzupełnią Rekomendację Związku Banków Polskich dotyczącą dobrych praktyk w zakresie przenoszenia rachunków oszczędnościowo-rozliczeniowych dla klientów indywidualnych na polskim rynku bankowym (obowiązującej od dnia 1 stycznia 2010 r.). Dla pozostałych dostawców usług płatniczych oferujących rachunki zasady te będą zaś całkowitym novum i jako takie mogą stanowić duże wyzwanie przy wdrażaniu do wewnętrznych procedur operacyjnych.

Wdrożenie IF Reg

Polskie przepisy o usługach płatniczych zawierały już regulacje dotyczące opłaty interchange (opłaty z tytułu transakcji kartowej uiszczanej na rzecz wydawcy karty przez agenta rozliczeniowego, a w konsekwencji przenoszone na akceptanta) przed ich uregulowaniem na szczeblu unijnym. W momencie wejścia w życie IF Reg konieczne więc stało się uchylenie części przepisów krajowych. Dotyczyło to w szczególności maksymalnej wysokości opłaty interchange. Wysokość ta będzie teraz regulowana wyłącznie przez IF Reg. Natomiast zasady informowania akceptantów o wysokości ich opłat z tytułu transakcji kartowych, w tym o wysokości opłaty interchange, w dalszym ciągu określone będą polskimi przepisami.

IF Reg, wbrew swojej nazwie, reguluje przy tym nie tylko kwestie maksymalnej wysokości opłaty interchange, ale  szerokie spektrum zagadnień związanych z funkcjonowaniem usług płatniczych realizowanych w oparciu o  kartę płatniczą. Jednocześnie, choć IF Reg jest bezpośrednio stosowane w Polsce, to wprowadza regulacje wymagające dostosowania prawa krajowego. Jednym z takich zagadnień jest obowiązek zapewnienia egzekwowania przepisów IF Reg przez operatorów schematów płatniczych oraz przewidzenia sankcji za naruszenie przez nich przepisów IF Reg. Zgodnie z nowelizacją organem nadzoru w tym zakresie będzie Prezes NBP (nie zaś KNF). W  szczególności prowadzenie schematu płatniczego jak i zmiana zasad jego funkcjonowania będzie wymagała uzyskania zgody Prezesa NBP. Polska regulacja w tym zakresie będzie przy tym dalej idąca niż wymaga tego IF Reg. Nadzorowi Prezesa NBP poddane zostały bowiem dodatkowo m.in. schematy obejmujące zasady prowadzenia transakcji przy użyciu niekartowych instrumentów płatniczych (np. aplikacji mobilnych, które nie są oparte o kartę płatniczą).

IF Reg wymaga również uregulowania na szczeblu krajowym zasad egzekwowania przepisów tego rozporządzenia w stosunku do dostawców usług płatniczych (wydawców instrumentów, agentów rozliczeniowych) oraz przewidzenia sankcji za naruszenie przez nich przepisów IF Reg. Zadania w tym zakresie powierzone zostaną KNF. W szczególności KNF będzie uprawniona do nakładania kar pieniężnych za nieprzestrzeganie przepisów IF Reg. Maksymalna wysokość tych kar może sięgnąć do 500 000 PLN.

Pozostałe zmiany ustawy o usługach płatniczych

Poza implementacją Dyrektywy PAD oraz wdrożeniem IF Reg, w ramach prac nad nowelizacją ustawy o usługach płatniczych wprowadzono zmianę zasad wnoszenia wpłat na pokrycie kosztów nadzoru KNF przez instytucje płatnicze. Nowy model tych wpłat oparty zostanie na wysokości funduszy własnych posiadanych przez te instytucje (maksymalnie 1% tych funduszy). Ocenia się, że zmiana ta oznacza dla instytucji płatniczych ograniczenie wpłat na pokrycie kosztów nadzoru od kilku do nawet kilkudziesięciu razy wobec obecnie stosowanego modelu, który opiera się na procentowej zaliczce od wolumenu wykonanych transakcji płatniczych. Zmiana  ta wejdzie w życie jednak dopiero od 1 stycznia 2018 r., gdyż dotyczy ona kwestii budżetowych KNF.

Ponadto, ułatwieniu ulegną zasady wyrażania przez użytkowników (lub posiadaczy pieniądza elektronicznego) zgody na przekazywanie informacji objętych tzw. tajemnicą płatniczą. Po wejściu w życie nowelizacji zgoda ta będzie mogła zostać wyrażona nie tylko na piśmie ale również w „formie elektronicznej”, tak jak w przypadku zgody na ujawnienie tajemnicy bankowej. Z pewnością jest to dobra wiadomość dla wielu dostawców usług płatniczych, którzy prowadzą swoją działalność wyłącznie w Internecie.

Na koniec warto również wspomnieć o wprowadzeniu obowiązku nadawania unikatowych identyfikatorów rachunkom prowadzonym przez niebankowych dostawców usług płatniczych. Dostawcy Ci będą również mogli wystąpić do NBP o nadanie numerów rozliczeniowych w sytuacji gdy uczestniczą w systemach płatności. Przepisy w tym zakresie obowiązują już od 10 grudnia 2016 r., przy czym szczegółowe rozwiązania określi dopiero rozporządzenie ministra ds. instytucji finansowych.

W artykule wskazano jedynie najważniejsze zmiany jakie wprowadza nowelizacja ustawy o usługach płatniczych. Widać jednak, że zmiany te obejmą wiele obszarów działalności na polskim rynku płatniczym. Praktycznie wszystkich dostawców usług płatniczych czekają więc teraz prace nad dostosowaniem prowadzonej działalności do nowych przepisów. I to prace intensywne, gdyż jak to zwykle jest w przypadkach regulacji działalności finansowej, diabeł tkwi w szczegółach wprowadzanych zmian, a czasu jest niewiele.

07 paź 2016

Zmiany w zakresie usług zaufania

Dnia 7 października 2016 r. weszła w życie ustawa o usługach zaufania, która stanowi jeden z pierwszych przejawów prac nad ujednoliceniem zasad funkcjonowania identyfikacji elektronicznej. Prace nad ustawą podjęto ze względu na Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 (eIDAS), które obowiązuje od 1 lipca 2016 r.

Bezpośrednia stosowalność eIDAS spowodowała konieczność dostosowania polskich regulacji, a zwłaszcza uchylenie ustawy o podpisie elektronicznym i modernizację zakresu usług zaufania, w skład których dotychczas wchodziły m.in. podpis elektroniczny i usługa znakowania czasem.

****

Efekt obowiązywania rozporządzenia eIDAS jest już odczuwalny na gruncie polskiego systemu prawnego. Kompilacja nowych regulacji zawartych w rozporządzeniu eIDAS i ustawie o usługach zaufania zmierza do ujednolicenia unijnego i krajowego porządku prawnego regulującego zasady świadczenia usług identyfikacji elektronicznej, w tym z wykorzystaniem podpisu elektronicznego.

Zmiany w e-usługach zapoczątkowane przez eIDAS

Analizując powyższe zagadnienie należy wspomnieć o  istotniejszych zmianach, wprowadzonych na gruncie nowego stanu prawnego. Pierwszą z nich jest rozszerzenie katalogu usług identyfikacji elektronicznej, w którym dotychczas znajdowały się środki takie jak podpis elektroniczny czy usługa znakowania czasem. Rozporządzenie eIDAS wprowadza możliwość korzystania z  rozszerzonego katalogu środków identyfikacji elektronicznej, który uzupełniono m.in. o elektroniczne potwierdzenie doręczenia (e-doręczenie) czy stosowanie pieczęci elektronicznej (e-pieczęć). Już na pierwszy rzut oka widać, że te środki będą miały istotne znaczenie w procesie funkcjonowania instytucji publicznych i zachęcania obywateli do korzystania z usług e-administracji czy e-sądów.

Drugą zmianą, na którą wypada zwrócić uwagę, jest fakt, że rozporządzenie eIDAS wprowadza nową definicję dokumentu elektronicznego. W świetle tej definicji za dokument elektroniczny uznaje się każdy dokument multimedialny, na który składać się będzie treść przechowywana w postaci elektronicznej, w szczególności tekst, nagranie dźwiękowe, wizualne lub audiowizualne.

Mając to na uwadze można spodziewać się stopniowej aktualizacji systemów informatycznych obsługujących instytucje publiczne i wdrażania szeregu nowych funkcjonalności. Co za tym idzie, można wnioskować, że zakrojone na coraz szerszą skalę próby dostosowania systemów do komunikacji z obywatelami w trybie online, będą bardziej realne.

Komentując zmianę stanu prawnego regulującego warunki świadczenia usług identyfikacji elektronicznej, warto nakreślić cel, jaki przyświecał unijnemu ustawodawcy w toku prac nad uchwalaniem rozporządzenia eIDAS. Mianowicie celem unijnego ustawodawcy było ujednolicenie europejskich standardów dokonywania oceny autentyczności i integralności dokumentów elektronicznych, poprzez wprowadzenie mechanizmów transgranicznych i międzysektorowych, pozwalających na funkcjonowanie bezpiecznych, wiarygodnych i łatwych w użyciu transakcji elektronicznych, wysoce istotnych dla utworzenia jednolitego rynku cyfrowego. W tym kontekście istotne jest przywołanie treści motywu (63) preambuły do rozporządzenia eIDAS, która wskazuje na konieczność poszanowania nowej roli dokumentu elektronicznego. Intencją regulatora jest ograniczenie możliwości kwestionowania skutków prawnych posługiwania się dokumentem elektronicznym.

Skutki obowiązywania eIDAS na gruncie krajowych regulacji

Sygnalizowane powyżej zagadnienia odgrywały ponadto istotną rolę w toku prac nad dostosowaniem krajowych regulacji. Jak wynika z uzasadnienia do projektu ustawy o usługach zaufania, zmiany w przepisach obowiązujących wiążą się z zapewnieniem ciągłości działania istniejących obecnie na rynku środków identyfikacji elektronicznej, zminimalizowaniem ryzyka kolizji rozporządzenia eIDAS z krajowym systemem prawnym, ale także umożliwieniem rozwoju nowoczesnych, wygodnych i bezpiecznych usług elektronicznych, opartych na wiarygodnych środkach identyfikacji elektronicznej. Podejmowanie przez polskiego ustawodawcę działań zmierzających do zminimalizowania różnic wynikających z nieprzystosowania rzeczywistości prawnej do nieustannie zmieniającej się rzeczywistości wirtualnej bez wątpienia napawa optymizmem.

Nowa ustawa o usługach zaufania określa m.in. zasady funkcjonowania krajowej infrastruktury zaufania, narodowego centrum certyfikacji i reguluje zakres działalności dostawców usług identyfikacji elektronicznej. Znaczącej zmianie uległy również  warunki sprawowania nadzoru nad działalnością dostawców usług identyfikacji elektronicznej. Obowiązująca od 2001 r. ustawa o podpisie elektronicznym wykonywanie nadzoru wpisała w katalog uprawnień ministra właściwego do spraw gospodarki, z kolei incydenty związane z funkcjonowaniem środków identyfikacji elektronicznej były zgłaszane przez Ministerstwo Rozwoju. Na skutek zmian legislacyjnych nadzór będzie obecnie sprawować Ministerstwo Cyfryzacji, pełniące kompleksową rolę w procesie legislacji wdrażania e-usług. W ramach modernizacji warunków wykonywania nadzoru dokonano zmian m.in. w zakresie zasad przyznawania certyfikatów, wprowadzenia polityki certyfikacji, odzwierciedlającej zasady świadczenia usługi, odpowiedzialność stron i metody postępowania z danymi. Istotny jest również przewidziany na gruncie nowej ustawy system kar pieniężnych nakładanych na dostawców, którzy w sposób nienależyty wywiązują się z nałożonych obowiązków.

Ustawa o usługach zaufania będzie miała zastosowanie do identyfikacji w relacji podmiot publiczny – strona postępowania, ale również podmiot prywatny – klient, przy czym w odniesieniu do drugiego zakresu działania wydaje się, że wymagane jest dostosowanie przepisów szczególnych, takich jak m.in. art. 7 Prawa bankowego regulujący formę czynności prawnych czy jego odpowiedników na gruncie prawa ubezpieczeniowego (przykładowo art. 809 § 1.  Kodeksu cywilnego – Ubezpieczyciel zobowiązany jest potwierdzić zawarcie umowy dokumentem ubezpieczenia).

Ciąg dalszy nastąpi…

Jak wskazuje ustawodawca, na tym nie koniec. Z uzasadnienia do ustawy wynika, że kolejne zmiany porządku prawnego będą zmierzały do usunięcia szeregu barier formalnych, związanych z generowaniem dokumentów papierowych, które w świadomości społecznej są nadal uznawane za bardziej wiarygodne, tańsze i bezpieczniejsze. Może to oznaczać pokonanie milowego kroku w kierunku zaktualizowania sposobu postrzegania dokumentów elektronicznych, nie tylko przez samych obywateli, ale przede wszystkim przez sądy i urzędy.

 

Poznaj nasz zespół