Bank Spółdzielczy. w dobie regulacji

Transkrypt

1 Bank Spółdzielczy w dobie regulacji

2 Stan prawny: listopad 2018 r. Treści zawarte w tej publikacji nie stanowią opinii czy porady prawnej, a mają jedynie charakter informacyjny.

3 Kim jesteśmy? Jesteśmy nowoczesną kancelarią, której usługi dedykowane są przede wszystkim dla sektora finansowego. Nie wpisujemy się w obraz stereotypowej kancelarii: poza kruczkami prawnymi istotne jest dla nas zrozumienie specyfiki branży, w której działają nasi Klienci. Podczas współpracy najważniejsze jest dla nas partnerstwo i komunikacja. Profesjonalne wsparcie to słowa, które najlepiej oddają charakter naszych usług. Pracujemy i żyjemy blisko morza dlatego też nasze umysły są szeroko otwarte, a usługi globalne. Nasza misja: Dostarczanie profesjonalnego doradztwa prawnego w sposób przystępny i zrozumiały. Kancelaria prawna specjalizująca się w sektorze finansowym Legal Geek to prawnik FinTech. Zapewniamy kompleksową obsługę zarówno przedsiębiorcom z sektora finansowego, jak i wszystkim tym, których działalność związana jest z tym szczególnym obszarem rynku. Mamy doświadczenie w reprezentowaniu naszych Klientów przed organami nadzoru nie tylko krajowymi (KNF), lecz także zagranicznymi. Wspieramy instytucje finansowe, w tym instytucje pożyczkowe, kantory internetowe, a także firmy zajmujące się kryptowalutami (m.in. Bitcoin) oraz Blockchainem. Nie boimy się innowacyjnych rozwiązań na skalę krajową i światową. Jesteśmy kancelarią dla dostawców usług płatniczych. Obsługujemy zarówno banki, krajowe instytucje płatnicze (KIP), biura usług płatniczych (BUP), jak i małe instytucje płatnicze (MIP). Z nami wykorzystasz cały potencjał PSD2!

4 Legal Geek w liczbach 8 osób w Zespole 12 lat doświadczenia każdego z Partnerów zł ubezpieczenia zawodowego Nasze wyróżnienia Lider IT 2017 Lider IT w kategorii E-commerce Innovation 2017 Ekomersy - II miejsce w kategorii Produkt, usługa wspieraja ca ekspansję międzynarodowa 2018 nominacja do Pomorskich Sztormów w kategorii Młoda Firma Roku Zaufali nam między innymi:

5 Nasi partnerzy Tomasz Klecor partner, ekspert FinTech & IT Tomasz jest ekspertem z zakresu regulacji usług płatniczych. Obsługą prawną podmiotów gospodarczych zajmuje się od ponad 12 lat. Obsługiwał spółki zarówno z UE, jak i USA. Specjalizuje się w zagadnieniach związanych z przeciwdziałaniem praniu pieniędzy i bezpieczeństwem transakcji finansowych. Jest autorem licznych publikacji dotyczących prawnych aspektów świadczenia usług płatniczych, w tym pieniądza elektronicznego oraz Bitcoina. W Legal Geeku kieruje głównie obsługą podmiotów FinTech oraz startupów, a także podmiotów z branży IT. Zofia Babicka-Klecor założycielka Legal Geek, partner, ekspert e-commerce & RODO Zofia jest założycielką Legal Geeka oraz ekspertem w zakresie prawnych aspektów e-commerce i ochrony danych osobowych. Posiada kilkuletnie doświadczenie jako prawnik w administracji publicznej, spółce IT oraz kancelarii radcowskiej. Jest autorką artykułów o prawnych aspektach e-commerce, prawach konsumentów, a także o ochronie danych osobowych. Doradzała przy licznych projektach z zakresu IT oraz e-commerce. W Legal Geeku odpowiada za kwestie związane z ochroną danych osobowych, e-commerce oraz prawami konsumentów.

6 REGULACYJNE SPAGHETTI Oto uproszczony schemat przepisów, do których musi dostosować się polski sektor finansowy. W Legal Geek wiemy jak się w nim poruszać. Pomożemy Ci rozplątać to regulacyjne spaghetti!

7 PSD2 - bezpieczeństwo Strong Customer Authentication (SCA) - Silne uwierzytelnianie użytkownika > Czym jest Silne Uwierzytelnianie Użytkownika? Silne uwierzytelnianie użytkownika (SCA) to proces, w ramach którego bank weryfikuje, czy osoba podająca się za klienta jest nim w rzeczywistości. W tym celu należy zidentyfikować klienta w oparciu o co najmniej dwa z trzech elementów uwierzytelniania tj. coś, co tylko klient wie (np. hasło); coś, co tylko klient ma (np. token sprzętowy lub autoryzowane urządzenie); coś, czym tylko klient jest (np. dane biometryczne). > Kiedy stosuje się silne uwierzytelnianie użytkownika? Z zasady silne uwierzytelnianie powinno być stosowane zawsze wtedy, kiedy dostęp do rachunku lub zlecenie transakcji odbywają się online (bankowość internetowa lub mobilna), za pomocą kanałów zdalnych (np. infolinia) czy innych kanałów narażonych na tzw. fraudy. Nie ma jednak konieczności stosowania silnego uwierzytelniania w placówkach, gdzie klient jest fizycznie obecny. Niemniej jednak praktycznie cała nowoczesna bankowość zdalna powinna zostać objęta SCA. > Kiedy można zrezygnować ze stosowania SCA? Rozporządzenie delegowane Komisji (tzw. RTS) przewiduje szereg wyjątków, kiedy bank może odstąpić lub częściowo odstąpić od stosowania silnego uwierzytelniania. Z SCA można zrezygnować przede wszystkim w przypadku transakcji niskiego ryzyka (zasady monitorowania ryzyka określa RTS). Dodatkowo można odstąpić od SCA np. przy transakcjach niskokwotowych, ale tylko w granicach określonych limitów kwotowych i ilościowych, a także w kilku innych przypadkach, gdzie transakcja nie generuje znacznego ryzyka nadużyć.

8 PSD2 - bezpieczeństwo Zarządzanie incydentami > Co dla banku oznaczają wytyczne EBA/GL/2017/10? PSD2 oraz wytyczne Europejskiego Urzędu Nadzoru Bankowego (EUNB lub EBA) nakładają na banki konieczność zarządzania incydentami związanymi z bezpieczeństwem oraz incydentami operacyjnymi. W szczególności banki zobowiązane są do niezwłocznego raportowania incydentów do Komisji Nadzoru Finansowego. > Czym jest incydent? Incydentem jest każde zdarzenie lub ich seria, które nie są planowane przez bank, a mają lub mogą mieć niekorzystny wpływ na świadczenie usług płatniczych, w tym np. na tajemnicę bankową czy dostępność świadczonych usług. W praktyce incydenty mogą mieć charakter wewnętrzny (np. błąd lub celowe działanie pracownika placówki banku) lub zewnętrzny (np. atak na systemy bankowe). > Co musi zrobić bank, gdy wystąpi incydent? Niezależnie od podjęcia działań naprawczych i minimalizowania skutków incydentu, w ramach zarządzania incydentem bank powinien go zgłosić do KNF. Zgłoszenia dotyczące incydentu wysyła się do nadzorcy kilkukrotnie w trakcie całego procesu obsługi zdarzenia, a pierwsze z nich musi zostać wysłane nie później niż 4 godziny po wykryciu zdarzenia. Bardzo często tj. w przypadku, gdy w ramach incydentu zagrożone były mechanizmy ochrony danych osobowych użytkownika bank musi zawiadomić o zdarzeniu również Urząd Ochrony Danych Osobowych.

9 PSD2 - bezpieczeństwo Zarządzanie ryzykiem > Jak wytyczne EBA/GL/2017/17 wpłyną na działalność banku spółdzielczego? Wytyczne EBA dotyczące ryzyka dla bezpieczeństwa usług płatniczych są kolejnymi już wytycznymi dla banków w obszarze bezpieczeństwa IT i zarządzania ryzykiem (obok np. wydanej przez KNF Rekomendacji D). Bank zobligowany jest do wdrożenia wytycznych Europejskiego Urzędu Nadzoru Bankowego, w szczególności do zmodyfikowania istniejących modeli zarządzania ryzykiem w działalności banku. > Czym jest gotowość do podejmowania ryzyka? Wytyczne EBA wymagają, aby każdy bank określił swoją gotowość do podejmowania ryzyka, czyli ustalił poziom oraz rodzaje ryzyka, jakie jest skłonny podejmować w celu realizacji swoich założeń strategicznych. Określenie poziomu gotowości do podejmowania ryzyka jest jednym z kluczowych elementów systemu zarządzania ryzykiem. Zgłaszanie nadużyć > Czy bank musi raportować fraudy i nadużycia do Komisji Nadzoru Finansowego? Zarówno PSD2 (a także krajowa ustawa o usługach płatniczych), jak i wytyczne Europejskiego Urzędu Nadzoru Bankowego (tj. wytyczne EBA/GL/2018/05) przewidują konieczność raportowania do KNF danych statystycznych dotyczących nadużyć stwierdzonych przez bank. Tym samym w ramach swojej działalności bank musi stworzyć nowe mechanizmy pozwalające na zbieranie tych danych i przekazywanie ich do KNF zgodnie z wymogami narzuconymi przez EBA.

10 PSD2 - open banking i dostęp do rachunku Usługi dostępu do rachunku > Czy bank musi zapewnić dostęp do rachunków innym podmiotom (TPP)? PSD2 wprowadza wymóg, aby każdy rachunek dostępny online był również dostępny dla podmiotów trzecich posiadających stosowną licencję dostawcy usług płatniczych (tzw. TPP). Konieczność wdrożenia odpowiednich rozwiązań spoczywa na banku prowadzącym rachunek płatniczy, a rozwiązania te muszą zostać udostępnione do testów nie później niż 14 marca 2019 roku, zaś od 14 września 2019 roku muszą już działać produkcyjnie, czyli być dostępne dla użytkowników. > Czy bank może utrudniać działalność dostawców trzecich? Zarówno przepisy ustawy o usługach płatniczych (wdrażającej PSD2 w Polsce), jak i wymogi przewidziane w Rozporządzeniu delegowanym (tzw. RTS) zakazują utrudniania działalności TPP czy ich dyskryminowania. TPP, którego prawa zostaną przez bank naruszone, ma m.in. prawo zawiadomić właściwy organ nadzorczy. > Bank jako TPP, czyli dostęp do rachunków prowadzonych przez konkurencję Nie ma przeszkód, aby bank działał jako samodzielny TPP, tj. uzyskiwał dostęp do rachunków prowadzonych przez inne banki. Tym samym od 14 września 2019 roku każdy bank może korzystać z tzw. usług XS2A (access to account) i realizować usługi PIS oraz AIS. > Czym jest API? API to interfejs dostępowy, który pozwala TPP łączyć się z bankiem w celu uzyskania dostępu do jego rachunków płatniczych. Banki muszą wdrożyć odpowiednie API do 14 marca 2019 roku. Jednym z przykładów API, które będą powszechnie stosowane w Polsce jest standard PolishAPI.

11 PSD2 - open banking i dostęp do rachunku Inicjowanie transakcji płatniczej > Czym jest usługa typu PIS? Payment Initiation Service (PIS), czyli usługa inicjowania transakcji płatniczej polega na zleceniu przez TPP, w imieniu klienta, wykonania transakcji (np. przelewu) za pośrednictwem rachunku prowadzonego przez innego dostawcę, czyli np. rachunku w innym banku. > Jakie opłaty może pobrać bank prowadzący rachunek? Bank prowadzący rachunek płatniczy może pobrać od klienta dokładnie takie same opłaty, jakie pobiera, gdy transakcja zlecana jest bezpośrednio. Nie ma możliwości obciążenia klienta opłatą wyższą czy też żądania prowizji od TPP. Dostęp do informacji z rachunku > Na czym polega AIS? W ramach usługi typu Account Information Service (AIS) dostawca trzeci, tzw. TPP, którym może być np. bank, uzyskuje dostęp do historii transakcji klienta dokonywanych za pośrednictwem rachunków płatniczych prowadzonych przez inne podmioty (np. konkurencyjny bank). > Praktyczne wykorzystanie AIS przez bank Usługi AIS, tj. usługi dostępu do informacji z rachunku, mogą być wykorzystywane przede wszystkim w ramach tzw. scoringu kredytowego, dzięki czemu bank może skuteczniej oszacować ryzyko kredytowe w oparciu o historię transakcji dokonywanych na rachunkach klienta w innych bankach. Niemniej jednak jest to tylko jeden z wielu przykładów wykorzystania tej usługi.

12 AML w banku spółdzielczym AMLD4 13 lipca 2018 roku weszła w życie nowa ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Ustawa ta wdraża czwartą Dyrektywę AML i musi być stosowana również przez banki spółdzielcze. Banki powinny między innymi przeprowadzić audyt istniejących procedur przeciwdziałania praniu pieniędzy pod kątem ich zgodności z nowymi przepisami. Dodatkowo weryfikacji powinno się poddać m.in. procedury identyfikowania oraz weryfikowania klientów. Analiza ryzyka AML/CFT Banki w swoich systemach zarządzania ryzykiem powinny również uwzględnić konieczność wykonywania analiz ryzyka prania pieniędzy lub finansowania terroryzmu za pośrednictwem świadczonych przez nie usług. Analiza ryzyka powinna uwzględniać szereg czynników wskazanych przez przepisy nowej ustawy AML/CFT. Beneficjenci rzeczywiści po nowemu Nowe przepisy kładą znacznie większy nacisk na identyfikowanie i weryfikowanie tzw. beneficjentów rzeczywistych. Dodatkowo zacznie funkcjonować tzw. centralny rejestr beneficjentów rzeczywistych, w którym zostaną ujawnieni beneficjenci m.in. spółek osobowych oraz kapitałowych. Nowa regulacja AML/CFT przykłada znacznie większą wagę do ustalenia tożsamości osób mających rzeczywisty wpływ na klienta.

13 RODO w banku spółdzielczym Analiza skutków przetwarzania (DPIA) Mając na uwadze charakter procesów przetwarzania informacji o użytkownikach, w tym ich profilowania m.in. ze względu na procedury AML/CFT czy ocenę zdolności kredytowej konieczne jest przeprowadzenie przez bank tzw. oceny skutków przetwarzania danych osobowych (DPIA), czyli dodatkowego elementu analizy ryzyka wymaganej przez RODO. RODO vs PSD2 Zgodnie z art. 94 PSD2 zbieranie danych osobowych użytkownika może nastąpić tylko, jeśli wyraził on na to zgodę. Tymczasem RODO przewiduje znacznie szerszy katalog podstaw prawnych do przetwarzania danych osobowych, np. umowę (w przypadku świadczenia usługi płatniczej) czy obowiązek prawny (w przypadku stosowania procedur AML/CFT). Tym samym literalna wykładnia PSD2 w zakresie zgody na przetwarzanie danych o użytkowniku znacznie utrudniałaby działalność banku. W naszej ocenie co potwierdzają również stanowiska niektórych nadzorców bank może korzystać z wszystkich podstaw prawnych wymienionych w RODO w celu przetwarzania danych klienta. Tym samym zgody, o której mowa w PSD2, nie należy utożsamiać ze zgodą z RODO. RODO vs AML Przepisy dotyczące przeciwdziałania praniu pieniędzy nakazują bankom zbieranie znacznej liczby informacji o użytkownikach, w tym m.in. wprowadzają konieczność profilowania klientów. Jednocześnie bank powinien minimalizować zakres danych osobowych, które przetwarza, gdyż tego wymaga od niego RODO. Prawidłowe wdrożenie obu tych regulacji jest nie lada wyzwaniem dla banków, jednak nie jest niemożliwe.

14 Oferta Bieżąca obsługa prawna Zapewniamy naszym Klientom bieżącą obsługę prawną w zakresie ich obowiązków regulacyjnych. Jako kancelaria zajmująca się wyłącznie obsługą konkretnych obszarów rynku wspieramy działy prawne instytucji finansowych. Oferujemy zarówno obsługę ad hoc w oparciu o stawkę godzinową, jak i abonamenty z pakietem godzin. Szkolenia i warsztaty Eksperci naszej kancelarii prowadzą liczne szkolenia dla sektora finansowego. Dzielimy się wiedzą na szkoleniach otwartych, o bardziej ogólnej tematyce oraz zamkniętych, dopasowanych do potrzeb Klienta. Specjalizujemy się m.in. w szkoleniach z zakresu: - AML/CFT - RODO - PSD2 Audyty prawne Zajmujemy się audytami i dostosowywaniem do zmian w prawie dokumentacji posiadanej przez instytucje finansowe, w tym również audytami procedur RODO oraz AML/CFT. Pomagamy instytucjom finansowym analizować i aktualizować zarówno dokumenty wewnętrzne, jak i zewnętrzne. Wdrożenia prawne Jako eksperci z zakresu regulacji rynku finansowego pomagamy naszym Klientom wdrożyć nowe usługi. Nie tylko przeprowadzamy analizy wykonalności prawnej, lecz także opracowujemy wszelkie niezbędne dokumenty od zmian w procedurach wewnętrznych po umowy ramowe z zakresu usług płatniczych, umowy kredytów konsumenckich czy regulaminy.

15 Szkolenia i warsztaty Chętnie dzielimy się naszą wiedzą z przedstawicielami sektora finansowego, wyjaśniając im zawiłości regulacji takich jak PSD2, RTS, Wytyczne EBA, AML czy RODO. Naszą wiedzę przekazujemy zarówno w ramach szkoleń otwartych organizowanych w różnych miastach Polski, jak i dedykowanych szkoleń lub warsztatów zamkniętych, przygotowanych z uwzględnieniem indywidualnych potrzeb i specyfiki działalności Klienta. Prowadzimy szkolenia i warsztaty w zakresie: PSD2 / RTS / Wytyczne EBA Obecnie są to kluczowe regulacje dla sektora banków spółdzielczych, a na ich wdrożenie nie pozostało zbyt wiele czasu. W ramach warsztatów szkoleniowych kierowanych do banków spółdzielczych omawiamy nie tylko aspekty prawne wdrożenia, lecz także te biznesowe. Razem z naszymi Klientami staramy się opracować takie rozwiązania, które nie tylko uczynią zadość przepisom i zadowolą nadzorców, ale wniosą również wartość do ich organizacji.

16 Szkolenia i warsztaty RODO Mimo, że RODO jest stosowane już od 25 maja 2018 roku, ciągle pozostaje jeszcze wiele wątpliwości dotyczących jego prawidłowego wdrożenia. Zwłaszcza w sektorze finansowym, gdzie instytucje takie jak np. banki spółdzielcze przetwarzają znaczne ilości danych osobowych swoich klientów, stosują np. profilowanie czy wzmożone analizy bezpieczeństwa. Pogodzenie RODO z regulacjami takimi jak AML czy PSD2 bywa bardzo kłopotliwe. Dodatkowo RODO wymaga od administratorów danych ciągłego poszerzania wiedzy w tym obszarze, np. przez udział w szkoleniach. Nasze warsztaty z RODO dla banków spółdzielczych pomagają skutecznie wdrożyć te regulacje. AML Obowiązek szkoleń z przeciwdziałania praniu pieniędzy został zawarty wprost w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Nasze szkolenia i warsztaty z AML/CFT służą jednak nie tylko spełnieniu tego obowiązku podczas nich przede wszystkim podpowiadamy naszym Klientom, jak stosować wymogi prawne, tak aby było to skuteczne, oraz wspólnie wypracowujemy optymalne rozwiązania.

17 Kontakt Jeżeli jesteś zainteresowany naszą ofertą lub masz pytania, zapraszamy do kontaktu mailowego bądź telefonicznego: Tomasz Klecor Zofia Babicka-Klecor Kancelaria Dane rejestrowe Legal Geek Sp. z o.o. z siedzibą w Gdyni (81-538), ul. Olimpijska 2 Wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy Gdańsk-Północ w Gdańsku nr KRS: NIP: REGON: kapitał zakładowy: zł

18 Prawnicy