Wymóg przekazywania klientom danych na trwałym nośniku komplikuje bankom pracę. Kilka z nich wybrało już rozwiązanie technologiczne

Banki czekają na opinię UOKiK dotyczącą rozwiązania sektorowego, które miałoby rozwiązać problem tzw. trwałego nośnika. To zagadnienie już od kilku miesięcy spędza sen z powiek bankowcom, którym grożą wielomilionowe kary. W międzyczasie kilka największych banków w Polsce zdecydowało się na wdrożenie rozwiązania trwałego nośnika opartego o macierz WORM, na podstawie koncepcji przedstawionej w UOKIK i opracowanej przez koncern technologiczny Hitachi. Oprócz wymogów trwałego nośnika macierz WORM pomoże się też bankom dostosować do wymogów innych regulacji, jak MIFID2 i RODO.

Zgodnie z unijną definicją trwały nośnik musi umożliwić konsumentowi lub przedsiębiorcy przechowywanie kierowanych do niego informacji w sposób, który umożliwi do nich dostęp w przyszłości i wykluczy ingerencję w ich treść przez usługodawcę (będą one przechowywane w niezmienionej postaci). Za trwały nośnik można uznać np. papier czy płytę CD/DVD.

Informacje, które banki przekazują konsumentom i przedsiębiorcom na trwałym nośniku, to m.in. formularze informacyjne dotyczące kredytów czy umowy zawieranych drogą elektroniczną, informacje o zmianach w regulaminie albo tabeli opłat i prowizji.

– Dotyczy to setek milionów umów zawieranych przez sektor bankowy. Przeniesienie i utrwalenie tego wszystkiego w czasach, kiedy dawno przeszliśmy już od gospodarki papierowej do elektronicznej, jest wielkim przedsięwzięciem. Chodzi o możliwość archiwizowania tych dokumentów tak, aby klienci i regulatorzy mieli pewność, że te dokumenty w postaci elektronicznej nie będą podlegały żadnej zmianie i będzie można do nich wrócić po wielu latach, bo niektóre umowy łączące klientów i banki to umowy wieloletnie – mówi agencji Newseria Biznes Krzysztof Pietraszkiewicz, prezes Związku Banków Polskich.

W styczniu ubiegłego roku Trybunał Sprawiedliwości UE wydał wyrok w sprawie autriackiego banku BAWAG, który miał znaczący wpływ na postrzegania problemu trwałego nośnika. Trybunał przyznał bowiem rację klientom austriackiego banku, którzy uznali, że wiadomości przekazywane im za pośrednictwem bankowości elektronicznej (a dokładniej skrzynki mailowej przypisanej do rachunku internetowego) nie spełniają wymogów trwałego nośnika – tym samym nie zostały skutecznie dostarczone. Trybunał wskazał, jakie wymagania muszą zostać spełnione, aby bankowość elektroniczna mogła być uznana jako trwały nośnik – niezmienność informacji i aktywne informowanie klientów.

W Polsce dotychczasowa komunikacja elektroniczna pomiędzy bankami a klientami odbywała się za pomocą skrzynki mailowej na platformie internetowej banku. UOKiK zakwestionował ten sposób komunikacji, podkreślając, że nie spełnia to definicji trwałego nośnika, ponieważ system znajduje się pod wyłączną kontrolą banku i klienci nie mają gwarancji, że treść nie zostanie jednostronnie zmieniona przez bank.

– Istotne jest, żeby informacje o zmianach warunków umów o usługę płatniczą zostały konsumentom doręczone, a nie udostępnione w bankowości elektronicznej, tak jak to się dzieje teraz. Chodzi o gwarancję, że informacje zamieszczone na tym trwałym nośniku nie będą w żaden sposób modyfikowane, podmieniane i nie będą mogły zostać usunięte. Dodatkowym aspektem jest dostęp do tych informacji przez okres, który dla konsumenta jest niezbędny, żeby z nich korzystać. Tutaj problemem jest to, że informacje, które dotychczas były przesyłane w ramach bankowości elektronicznej, nie były dostępne dla konsumentów po rozwiązaniu umowy – precyzuje Krzysztof Lehmann, zastępca dyrektora delegatury UOKIK w Bydgoszczy.

Zgodnie z wymogami UOKiK również forma doręczania tych informacji na trwałym nośniku powinna być dostosowana do preferencji klienta, ponieważ nie każdy korzysta jeszcze z elektronicznej bankowości lub woli dostawać informacje o warunkach umów z bankiem inną drogą. Klient powinien mieć też nieutrudniony dostęp do informacji po zakończeniu relacji umownej z bankiem.

Banki pracują intensywnie nad wdrożeniem takiego rozwiązania, które będzie spełniać wszystkie wymogi definicji trwałego nośnika. Problem jest poważny, bo w przypadku niedopełnienia zaleceń UOKiK bankom grożą wielomilionowe kary i konieczność wypłaty rekompensat dla klientów. Rozważane są rozwiązania sektorowe lub indywidualne dla każdego z banków. Jedną z ostatnich inicjatyw było przygotowanie koncepcji sektorowej przez Związek Banków Polskich.

– Jesteśmy po bardzo długim procesie poszukiwania najlepszego rozwiązania sektorowego, które ma sprawić, że bankowość elektroniczna dalej może być stosowana jako trwały nośnik i żeby odzwierciedlała te wszystkie elementy, o których mówił UOKiK i europejski Trybunał Sprawiedliwości. Na początku stycznia opublikowaliśmy raport, który przedstawiliśmy KNF i UOKiK. KNF udzieliła nam już odpowiedzi ze wskazaniem, że akceptuje wszystkie te rozwiązania dotyczące trwałego nośnika, które zaproponowaliśmy. Czekamy wciąż na oficjalne stanowisko UOKiK – mówi Tadeusz Białek, Dyrektor Zespołu Prawno-Legislacyjnego w Związku Banków Polskich.

Koncepcja rozwiązania sektorowego została oparta na technologiach pieczęci elektronicznej oraz blockchain. Na ten moment UOKIK nie odniósł się jednak oficjalnie do propozycji Związku Banków Polskich.

– Nie wiem, czy prezes Urzędu jest właściwy do wypowiadania się w tym zakresie, ponieważ my prowadzimy postępowanie administracyjne związane z zarzutami w zakresie nieprzesyłania informacji na trwałym nośniku i tak naprawdę operujemy na tych informacjach, na tych zobowiązaniach, które zostały przedłożone w toku postępowań przez banki. Aktualnie propozycje oparte na technologii blockchain nie są przedmiotem opracowania przez prezesa Urzędu w ramach tych postępowań, więc trudno się do tego wprost odnosić – odpowiada Krzysztof Lehmann

Jedną z rekomendowanych i stosowanych technologii jest system oparty o bezpieczną pamięć obiektową, wyposażoną w mechanizm WORM (write-once-read-many), nazywaną na rynku finansowym po prostu „macierzą WORM”. Zapewnia ona niezmienność przechowywanych danych w wymaganym czasie oraz ich ochronę przed skasowaniem. W tym przypadku informacje mogą być przechowywane w infrastrukturze banku bez potrzeby wykorzystywania pomocy podmiotów trzecich.

– WORM to technologia, która pozwala zachować gwarancję, że określone informacje zapisane na tej macierzy nie zostaną w żaden sposób przez podmiot zarządzający tą macierzą usunięte, zmienione ani zastąpione żadnym innym dokumentem. W naszej ocenie WORM spełnia aspekt niezmienności, nieusuwalności przechowywanych informacji, aczkolwiek to jest tylko jeden z kilku aspektów związanych z wymogami co do trwałego nośnika w bankowości elektronicznej – dodaje przedstawiciel bydgoskiego oddziału UOKiK.

Macierz WORM jest kluczowym elementem rozwiązania problemu trwałego nośnika, zapewniającym trwałość informacji. Dodatkowo bank musi jednak zapewnić sposób odpowiedni sposób przekazywania przechowywanych na WORM informacji klientowi, a także informować klienta o pojawieniu się nowych informacji na macierzy WORM.

– Rozwiązanie macierzy WORM musi zostać zintegrowane albo z bankowością internetową banku, albo z jakimś niezależnym portalem, do którego klient będzie miał stały dostęp 24 godziny na dobę i który nie będzie zawierał żadnych informacji marketingowych – mówi Tadeusz Woszczyński, country manager Hitachi Europe.

Firma Hitachi w Polsce zajmuje się tematem trwałego nośnika od dwóch lat i opracowała koncepcję opartą o macierz WORM. Proponowana przez Hitachi macierz WORM bazuje na autorskim rozwiązaniu Hitachi Content Platform, które od lat jest stosowane m.in. w projektach regulacyjnych przez największe, światowe banki takie jak Morgan Stanley, Goldman Sachs, Raiffeisen, Rabobank i wiele innych. W Polsce największe banki zdecydowały się na wykorzystanie tego rozwiązania dla trwałego nośnika.

– Hitachi jest autorem zarówno koncepcji prawnej, funkcjonalnej, jak i technologicznej wykorzystania tzw. macierzy WORM do trwałego nośnika. Pierwsze rozwiązanie zostało dostarczone już w grudniu 2017 roku, kolejne dwa w marcu tego roku. Już trzy czołowe banki w Polsce stosują nasze rozwiązanie, a jesteśmy w trakcie intensywnych dyskusji o kolejnych wdrożeniach – dodaje country manager Hitachi Europe.

Indywidualne podejście banków do rozwiązania trwałego nośnika z wykorzystaniem macierzy WORM jest akceptowane przez Związek Banków Polskich, mimo że w swoim raporcie dotyczącym rozwiązania sektorowego trwałego nośnika (opartego o blockchain i pieczęć elektroniczną) nie odniósł się on wprost do macierzy WORM. Jednakże w ocenie ZBP macierz WORM również spełnia wymagania dotyczące trwałego nośnika:

– Banki wybierają teraz macierz WORM, wstrzymując się z decyzjami dotyczącymi zastosowania technologii blockchain, która wymaga daleko bardziej idących nakładów i wyzwań technologicznych. Blockchain jest przez nas adresowany jako rozwiązanie docelowo do zastosowania w bankowości w wielu innych również wymiarach, nie tylko jako trwały nośnik. Oczywiście akceptujemy fakt, że banki technologię WORM wybierają do trwałego nośnika – mówi Tadeusz Białek.

Jak podkreśla country manager Hitachi Europe macierz WORM jest najbardziej adekwatnym rozwiązaniem adresującym problem trwałego nośnika, ponieważ alternatywna technologia blockchain dopiero się rozwija. Ponadto oprócz trwałego nośnika macierz WORM umożliwia też spełnienie wymagań związanych z innymi unijnymi dyrektywami jak MiFID II czy RODO, która zwiększa do maksimum ochronę danych osobowych konsumentów.

– Wykorzystując macierz WORM, możemy zabezpieczyć informacje przed ich naruszeniem. Ponieważ macierz WORM to storage obiektowy, mamy też możliwość szybkiego wyszukiwania plików, które zawierają dane osobowe. Pewne mechanizmy wbudowane w taką macierz umożliwiają także wprowadzenie prawa do zapomnienia [jedno z założeń RODO – red.] – mówi Tadeusz Woszczyński.