Od pewnego czasu nową świecką "tradycją" stały się opóźnienia w implementacji przez Polskę unijnych dyrektyw dotyczących rynków finansowych. W niektórych przypadkach (np. dla AIFMD, MIFID II czy PSD II) Komisja Nadzoru Finansowego wystosowała nawet swoje oficjalne stanowiska. Co ciekawe na potrzeby PSD II KNF nazywa okres opóźnienia "okresem przejściowym I", mimo że taki poślizg czasowy jest naruszeniem prawa unijnego, a Polsce grożą z tego tytułu sankcje finansowe.

W ostatnim czasie pojawiły się również obawy o los przepisów dostosowujących polskie prawo do unijnego rozporządzenia o ochronie danych osobowych (tzw. RODO). Na ubiegłotygodniowym spotkaniu organizowanym przez Ministerstwo Cyfryzacji zapowiedziano rozdzielenie prac nad dwiema ustawami składającymi się na pakiet nowych przepisów. Dzięki temu nowa ustawa o ochronie danych osobowych może trafić do Sejmu jeszcze w marcu 2018 r., co pozwoli na jej przyjęcie przed 25 maja (termin wejścia w życie RODO).

Przeczytajcie także: • KNF do banków: API potrzebne jak najszybciej

Wydłużeniu zapewne ulegną prace nad drugą ustawą zawierającą tzw. przepisy sektorowe. Wszystko wskazuje na to, że może ona nie zostać uchwalona do czasu wejścia w życie RODO, zwłaszcza że poważne uwagi do projektu wniosło Ministerstwo Spraw Zagranicznych, zarzucając na przykład niezgodność z RODO ponad czterdziestu projektowanych przepisów.

RODO, w przeciwieństwie do dyrektyw PSD II czy MIFID II, jest rozporządzeniem, co oznacza że jego wejście w życie nie wymaga implementacji, czyli przeniesienia norm z dyrektywy do ustawy krajowej. Państwo członkowskie powinno dostosować prawo krajowe do RODO i wykonać dodatkowe obowiązki, na przykład powołać organ nadzoru, ale nawet w przypadku opóźnienia rozporządzenie będzie obowiązywać w całości już od 25 maja.

Jeżeli natomiast równolegle z RODO nie wejdą w życie przepisy sektorowe, znacząco utrudni to życie administratorom danych. W większości przepisy te nie mają bowiem na celu dodania przedsiębiorcom nowych obowiązków, ale wręcz ich wyłączenie lub dostosowanie do specyfiki danego sektora. W efekcie opóźnienie nie tylko nie wydłuży administratorom czasu na dostosowanie się do nowych przepisów, ale może skutkować koniecznością wdrożenia RODO również w tych obszarach, gdzie projektowane przepisy zakładają zwolnienie administratora danych z niektórych obowiązków.

Przeczytajcie także: • PSD II może ściągnąć zagraniczne fintechy do Polski

Czy ewentualne opóźnienie może mieć praktyczne konsekwencje dla biznesu płatniczego? Zdecydowanie tak. W dodatku skutki te mogą być dość poważne. Przykładowo, przepisy sektorowe miały na celu nowelizację ustawy o usługach płatniczych w taki sposób, aby wprowadzić niezależne od RODO zasady przetwarzania danych przez instytucje płatnicze w systemach antyfraudowych i służących monitoringowi transakcji dla celów wykonania przepisów o przeciwdziałaniu praniu pieniędzy. Jeżeli te zasady nie wejdą w życie wraz z RODO, to systemy te będą podlegać ogólnym przepisom o ochronie danych osobowych. W efekcie instytucje płatnicze będą zobowiązane m.in. do udzielania każdemu użytkownikowi "istotnych informacji" o sposobie działania tych systemów. W skrajnych wypadkach opóźnienie może nawet utrudnić działanie samego systemu.

W ostatnim czasie KNF i inne podmioty (także prywatne w ramach zespołu roboczego ds. fintech w Polsce) wkładają dużo wysiłku w opracowywanie i realizację strategii utworzenia w Polsce regionalnego hubu dla, jak to zostało nazwane podczas jednej z debat, "secure fintech". Nie trzeba chyba tłumaczyć, że taki brak szczegółowych przepisów może mieć bardzo poważne skutki dla bezpieczeństwa sektora i na pewno nie przysłuży się harmonijnemu rozwojowi innowacyjnych usług finansowych. Pozostaje zatem mieć nadzieję, że do maja uda się w Polsce przyjąć obydwie ustawy. Biorąc jednak pod uwagę realną możliwość wystąpienia opóźnień, warto opracować plan B, aby w tym "okresie przejściowym" nie narazić się na ryzyko prawne niezgodności z RODO i ewentualnych dotkliwych sankcji.

---

Michał Mostowik, dLK Legal
Artykuł powstał przy współpracy z kancelarią dLK Legal

Autor jest prawnikiem w dLK Legal. Jest absolwentem i doktorantem Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Ukończył program "Certificate in American Law" na UC Berkeley (Boalt Law School) oraz Szkołę Prawa Niemieckiego organizowaną przez Uniwersytet Jagielloński we współpracy z uniwersytetami w Heidelbergu i Moguncji. Uczestniczył w koordynowanych przez KNF pracach Zespołu roboczego ds. rozwoju innowacji finansowych oraz w pracach strumienia "Blockchain i kryptowaluty" przy Ministerstwie Cyfryzacji w ramach programu "Od papierowej do cyfrowej Polski". Specjalizuje się i praktykuje w zakresie prawa bankowego, usług płatniczych, ochrony danych osobowych i prawa UE.