Będzie możliwość wykorzystania technologii blockchain do utrwalenia e-dokumentów bankowych
W połowie lutego 2020 r. na stronie Rządowego Centrum Legislacji pojawił się projekt rozporządzenia w sprawie dokumentów związanych z czynnościami bankowymi, sporządzanych na informatycznych nośnikach danych. Projekt znajduje się obecnie na etapie komisji prawniczej i założyć należy, że większych zmian już nie uświadczymy.
Rozporządzenie, które jest wydawane na podstawie art. 7 ust. 4 Prawa bankowego nie wprowadza dużych zmian, choć mamy tutaj możliwość wykorzystania technologii blockchain do utrwalenia dokumentów, a także możliwość podpisywania dokumentów z użyciem pieczęci elektronicznej (to efekt dostosowania Prawa bankowego do wymogów Rozporządzenia 910/2014 – eIDAS). Przyjrzyjmy się Rozporządzeniu.
E-oświadczenia woli
Zacznijmy jednak od podstaw. Zgodnie z art. 7 ust. 1 Prawa bankowego oświadczenia woli związane z dokonywanie czynności bankowych mogą być składane w postaci elektronicznej, zaś ust. 2 umożliwia sporządzanie dokumentów związanych z tymi czynnościami na informatycznych nośnikach danych.
Co istotne, nawet jeżeli dla danej czynności przewidziano formę pisemną (również pod rygorem nieważności), jeżeli strony umówiły się na formę elektroniczną, ten wymóg zostanie spełniony. Warunkiem jest oczywiście spełnienie wymogów powyższego przepisu, jak i Rozporządzenia.
Czytaj także: 30 regulacyjnych wyzwań dla innowacji finansowych – raport Komisji (UE)
Jednak forma elektroniczna nie jest możliwa w każdym przypadku. Taka forma nie będzie miała przykładowo zastosowania do czynności, o których mowa w art. 6 Prawa bankowego, chociaż w takiej sytuacji pomóc może art. 60 oraz 78(1) Kodeksu cywilnego (podobnie twierdzi prof. dr hab. Zbigniew Ofiarski, Instytut Nauk Prawnych Uniwersytetu Szczecińskiego).
W kontekście omawianego zagadnienia istotna jest również ustawa o usługach zaufania oraz identyfikacji elektronicznej.
Definicje: e-podpis i e-pieczęć
Mamy tutaj dość istotną zmianę względem „starego” (2004 r.) Rozporządzenia w tym przedmiocie. Projektowane Rozporządzenie wprowadza dwa pojęcia, tj. podpisu elektronicznego oraz pieczęci elektronicznej.
Mowa tutaj o kwalifikowanym podpisie elektronicznym, ale również innym podpisie (pieczęci) elektronicznym zgodnym z umową stron, a w przypadku dokumentów wewnętrznych, zgodnym z jego przepisami wewnętrznymi.
Czytaj także: Kto odpowiada w firmie za cyberbezpieczeństwo? − wytyczne EBA w sprawie ryzyk IT
To zmiana względem Rozporządzenia z 2004 r., które referowało wyłącznie do ustawy o podpisie elektronicznym. Takie zdefiniowanie podpisu daje znacznie większą elastyczność w zakresie podpisywania dokumentów elektronicznych.
Kiedy mamy do czynienia z dokumentem elektronicznym?
Do utworzenia i utrwalenia wystarczy zapisanie w dokumencie elektronicznym danych związanych z czynnościami bankowymi i opatrzenie podpisem elektronicznym lub pieczęcią elektroniczną.
Taki dokument możemy przekazać zasadniczo na dwa sposoby:
− na informatycznym nośniku danych (płyta CD, USB-stick etc.) lub
− za pomocą środków komunikacji elektronicznej (zarówno w bankowości elektronicznej, jak i za pomocą poczty e-mail).
Konieczne jest jednak zapewnienie integralności przekazywanych danych, co oznacza, że konieczne będzie wykazanie, że od chwili jego utworzenia zawartość nie uległa zmianie. Ważne będzie to również dla celów dowodowych i nadzorczych. Bank powinien więc przechowywać te dokumenty wraz z logami (historią) tego, co z dokumentem się działo (Kto? Gdzie? Jak? Co? Do kogo?).
Konsekwencje utworzenia e-dokumentu
Taki dokument bank musi przechowywać w swoich systemach w sposób zapewniający jego integralność i w sposób umożliwiający weryfikację treści oraz podpisu lub pieczęci. Istotną zmianą jest możliwość przechowywania takich dokumentów w formie rozproszonej i zdecentralizowanej (DLT/Blockchain) bazy danych. W takim przypadku bank ma jednak obowiązek zapewnić bezpieczeństwo i integralność danych.
Ważnym aspektem projektowanego Rozporządzenia jest kwestia przenoszenia danych oraz ich usuwania po upływie okresu retencji. Po pierwsze, jeżeli okres trwałości zapisu jest krótszy niż okres retencji, to taki dokument należy przenieść na inny nośnik przed upływem tego pierwszego okresu. Ten „stary” nośnik powinien zostać tak zmodyfikowany, aby nie było możliwości odtworzenia dokumentu.
W przypadku, gdy okres retencji minął, dokument należy usunąć z nośnika w sposób nieodwracalny. Nośnik podlega analogicznej modyfikacji jak powyżej.
Sam dokument należy przechowywać w co najmniej dwóch kopiach, na różnych nośnikach. Nośniki te muszą dodatkowo być przechowywane w oddalonych od siebie lokalizacjach, w sposób zapewniający ich bezpieczeństwo, z uwzględnieniem zasad wynikających m.in. z Wytycznych EBA w sprawie zarządzania ryzykami operacyjnymi i bezpieczeństwa.
Czytaj także: Są zmiany, a czasu mało. Wytyczne EBA ws. zarządzania ryzykami IT oraz bezpieczeństwa
W tym kontekście warto zwrócić uwagę na to, że kopiowanie dokumentów może odbywać się wyłącznie pod nadzorem odpowiednio upoważnionych osób. Nośniki posiadają także unikalne identyfikatory.
Kiedy mamy bezpieczny dokument?
Zgodnie z projektem Rozporządzenia dokument jest zabezpieczony, jeżeli w sposób ciągły:
− jest zapewniona jego dostępność wyłącznie dla osób uprawnionych (zgodnie z zasadą wiedzy koniecznej) oraz
− jest chroniony przed przypadkowym lub nieuprawnionym zniszczeniem, oraz
− zastosowane zostały metody i środki ochrony dokumentu, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. Zakładam, że – bazując na Rozporządzeniu w sprawie cyberbezpieczeństwa – wystarczy spełnienie Polskiej Normy PN-EN ISO/IEC 27001.
Wiążą się z tym także dodatkowe obowiązki, które bank musi spełnić, zasadniczo tożsame ze „starym” Rozporządzeniem.
Czytaj także: EBA o Big Data i Machine Learning w sektorze bankowym. Report on Big Data and Advanced Analytics
Bank musi więc:
− systematycznie dokonywać analizy zagrożeń (w tym w ramach systemu zarządzania ryzykiem – warto zwrócić uwagę na zagrożenia w zakresie CybSec);
− opracowywać i stosować procedury ochrony informacji i systemów ich przetwarzania, w tym procedur dostępu (zazwyczaj będzie to polityka bezpieczeństwa danych i towarzyszące jej procedury);
− stosować środki bezpieczeństwa adekwatne do zagrożeń (risk-based approach oraz
− na bieżąco kontrolować funkcjonowanie wszystkich organizacyjnych i techniczno-informatycznych sposobów ochrony informacji, a także okresowego dokonywania oceny skuteczności tych sposobów (jw.).
Termin?
Rozporządzenie ma wejść w życie w terminie 6 miesięcy od jego ogłoszenia, więc czasu jeszcze trochę zostało. Analizę luki warto zrobić już teraz.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.