Nasza oferta
Regulacje rynku finansowego
Mamy bogate doświadczenie w obsłudze podmiotów rynku finansowego, w tym podmiotów sektora bankowego, płatniczego i pożyczkowego.
Realizujemy projekty z obszaru szeroko rozumianych regulacji FinTech, w tym PSD2 (PSD3 i PSR), regulacji AML/CFT, regulacji cybersec (NIS, DORA), czy regulacji outsourcingowych (GL EBA, komunikat KNF).
Przeprowadzamy wdrożenia chmurowe w instytucjach finansowych (w tym wdrożenia usług wszystkich globalnych dostawców rozwiązań chmurowych), realizujemy projekty na styku rynku finansowego i kryptoaktywów, mamy doświadczenie we wdrożeniach usług zaufania w reżimie eIDAS.
_______
W obszarze regulacji rynku finansowego
realizujemy w szczególności następujące usługi
Kredyt konsumencki i instytucje pożyczkowe
W ostatnich latach skala regulacji obowiązujących podmioty rynku finansowym rośnie wręcz lawinowo. Znaczący wzrost nie omija również rynku kredytów konsumenckich. W bieżącym roku rynek kredytów konsumenckich mierzy się przede wszystkim z wdrożeniem przepisów tzw. ustawy antylichwiarskiej, przewidującej w szczególności wprowadzenie do Kodeksu cywilnego przepisów określających wysokość maksymalnych kosztów pozaodsetkowych pożyczek oraz poddanie działalności instytucji pożyczkowych nadzorowi KNF.
Nasi eksperci posiadają doświadczenie w doradztwie prawnym na rzecz instytucji pożyczkowych i innych podmiotów udzielających kredytów konsumenckich (w tym instytucji płatniczych), w szczególności w doradztwie prawnym na gruncie przepisów ustawy o kredycie konsumenckim oraz dyrektywy CCD. Monitorujemy na bieżąco również proces legislacyjny związany z dyrektywą CCD2.
W ramach usług Kancelarii w szczególności:
prowadzimy postępowania w sprawie wpisu do rejestru instytucji pożyczkowych,
przygotowujemy wzory formularzy informacyjnych dla konsumentów,
przygotowujemy umowy kredytu wraz z dokumentacją towarzyszącą,
opracowujemy procesy zawierania umów o kredyt,
opracowujemy procedury i instrukcje wewnętrzne udzielania kredytów,
opracowujemy procedury weryfikacji zdolności kredytowej,
przygotowujemy wzory klauzul informacyjnych (z uwzględnieniem reprezentatywnych przykładów i obowiązków dotyczących RRSO),
przygotowujemy noty prawne (w tym na potrzeby reklam kredytów konsumenckich),
przeprowadzamy analizy z zakresu zasad przetwarzania danych osobowych przez instytucje pożyczkowe,
przeprowadzamy audyty prawne procesów i dokumentacji wraz z przygotowaniem kompleksowych raportów luk.
Chmura obliczeniowa (komunikat KNF)
Przetwarzanie danych w chmurze obliczeniowej staje się normą. Jako podstawowe zalety przejścia do chmury wskazuje się wyjątkowe możliwości techniczne rozwiązań chmurowych, przy jednoczesnej możliwości optymalizacji kosztów infrastrukturalnych oraz zwiększenia bezpieczeństwa przetwarzania danych.
W polskim sektorze finansowym zasady przetwarzania danych w chmurze, w tym w oparciu o infrastrukturę globalnych dostawców (AWS, Google, Microsoft), nie są ujednolicone na poziomie ustawowym. Przykładowo w sektorze bankowym zasady te określają przede wszystkim regulacje przepisów prawa bankowego dotyczące outsourcingu regulowanego i tajemnicy bankowej oraz przepisy RODO.
Próbę ujednolicenia zasad korzystania z chmury obliczeniowej przez podmioty nadzorowane podjęła natomiast KNF – najpierw w komunikacie UKNF z 2017 r., a następnie w komunikacie UKNF z 23 stycznia 2020 r. (tzw. komunikat chmurowy). W ramach komunikatu chmurowego zawarte zostały szczegółowe zasady zarządzania przez podmioty nadzorowane outsourcingiem chmurowym. Nacisk położono przy tym zwłaszcza na aspekt świadomości ryzyk związanych z korzystaniem z technologii chmurowej i na zasady zarządzania tymi ryzykami, w tym ich minimalizacji (w szczególności poprzez zapewnienie niezbędnych kompetencji, zabezpieczenia techniczne czy zabezpieczenia prawne).
Nasi eksperci posiadają bogate doświadczenie w realizacji wdrożeń usług chmurowych w podmiotach nadzorowanych zgodnie z postanowieniami komunikatu chmurowego UKNF, w szczególności usług chmurowych wszystkich największych na świecie dostawców. Posiadamy doświadczenie we wdrażaniu usług chmurowych w modelach SaaS, PaaS i IaaS oraz w konfiguracjach wielopodmiotowych, w tym w ramach relacji grupowych oraz w modelach outsourcingu łańcuchowego.
W ramach przeprowadzanych przez Kancelarię wdrożeń usług chmurowych w szczególności:
dokonujemy oceny i klasyfikacji informacji przetwarzanych w chmurze,
przygotowujemy analizy ryzyka zgodnie z właściwymi normami ISO,
przygotowujemy wymaganą przez komunikat chmurowy dokumentację (w tym z zakresu zapewnienia kompetencji, planu przetwarzania informacji czy procedur bezpieczeństwa i kryptografii),
dokonujemy weryfikacji umów z dostawcami oraz przygotowujemy i negocjujemy zmiany tych umów celem spełnienia wymogów komunikatu,
przygotowujemy ewidencje umów outsourcingu chmurowego,
przygotowujemy procedury outsourcingu w zakresie zarządzania usługami chmurowymi,
przeprowadzamy audyty procesów zarządzania outsourcingiem chmurowym,
szkolimy pracowników podmiotów nadzorowanych w zakresie zarządzania chmurą.
Cyberbezpieczeństwo (NIS, DORA, GL EBA)
Rozwój technologii wiąże się nieodłącznie ze wzrostem znaczenia cyberbezpieczeństwa w ogólnych procesach zarządzania ryzykiem. Wraz z tym wzrostem przybywa również regulacji w zakresie cyberbezpieczeństwa, które to regulacje obejmują swoim zakresem coraz szerszy krąg podmiotów.
Aktualnie kluczowymi regulacjami prawnymi cyberbezpieczeństwa dla biznesu są na poziomie unijnym dyrektywa NIS, zaś na poziomie krajowym ustawa o cyberbezpieczeństwie, które dotyczą stosunkowo niewielkiej liczby podmiotu w postaci tzw. operatorów usług kluczowych i dostawców usług cyfrowych. Dużo więcej jest zaś aktów tzw. soft law i standardów branżowych (przykładowo w sektorze finansowym wytyczne EBA w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT). Już wkrótce wiele podmiotów czekają jednak wyzwania związane z wdrożeniami kolejnych regulacji. W kolejce czeka bowiem uchwalona już dyrektywa NIS2 (termin implementacji 17 października 2024 r.), która rozszerza zakres podmiotowy swojego zastosowania w porównaniu do NIS1, a także również już uchwalone rozporządzenie DORA (termin rozpoczęcia stosowania 17 stycznia 2025 r.), które staje się niejako kodeksem cyberbezpieczeństwa w sektorze finansowym (przy czym wykorzystuje ono w istotnej części dotychczasowy dorobek unijnych organów, w tym rozwiązania znane choćby z wytycznych EBA).
W ramach usług Kancelarii prowadzimy doradztwo prawne w zakresie wdrożeń rozwiązań z zakresu cyberbezpieczeństwa, w tym w instytucjach finansowych. Nasi prawnicy na bieżąco monitorują debatę branżową dotyczącą stosowania nowych regulacji i doradzają Klientom Kancelarii we wdrożeniach zmian adresujących nowe wymogi prawne.
Krypto (MiCA)
W ostatnich kilku latach kryptoaktywa stały się właściwie zjawiskiem globalnym, mającym swoich entuzjastów, jak i sceptyków. Z perspektywy czysto prawnej kryptoaktywa to zjawisko, które nie wpisywało się w ramy istniejących regulacji. W szczególności, wobec braku dedykowanych regulacji kryptoaktywów, w zależności od ich funkcji i sposobu wykorzystania, mogły być one kwalifikowane jako szczególne rodzaju dotychczas istniejących instrumentów prawnych takich jak instrumenty finansowe (regulowane MIFID II), pieniądz elektroniczny (regulowany PSD2) czy nawet prawa udziałowe (udziały, akcje).
W zakresie regulacyjnym, pierwszą polską regulację dotykającą wprost problematyki krypto były znowelizowane przepisy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, które weszły w życie 31 października 2021 r. i które wprowadziły w szczególności Rozdział 11a ustawy AML, przewidujący między innymi, że działalność tzw. giełd krypto (działalność polegająca przede wszystkim na wymianie pomiędzy walutami wirtualnymi i środkami płatniczymi) będzie działalnością regulowaną, która może być wykonywana po uzyskaniu wpisu do rejestru działalności w zakresie walut wirtualnych.
Kolejnym milowym krokiem w świecie krypto było przyjęcie na poziomie unijnym dnia 31 maja 2023 r. tzw. rozporządzenia MiCA (tj. rozporządzenia w sprawie rynków kryptoaktywów), które ma być podstawowym unijnym aktem regulującym kryptoaktywa (z pewnymi włączeniami np. w zakresie instrumentów finansowych w rozumieniu MIFID II). MiCA w przeważające części stosuje się od dnia 30 grudnia 2024 r., przy czym na zasadzie odstępstwa część przepisów ma zastosowanie wcześniej, w tym niektóre już od dnia 29 czerwca 2023 r.
Prawnicy Kancelarii posiadają doświadczenie w zakresie obsługi prawnej projektów opartych o kryptowaktywa, a także na bieżąco monitorowali procesy legislacyjne związane z nowymi regulacjami krypto, w tym proces związany z przyjęciem MiCA.
W ramach usług Kancelarii oferujemy kompleksową obsługę prawną projektów z zakresu kryptoaktywów, w tym projektów o charakterze usług finansowych z elementami krypto. W szczególności:
opracowujemy prownoregulacyjne modele wdrożenia projektów krypto (wraz ze szczegółowymi manualami opisującymi poszczególne procesy wdrożenia),
wspieramy Klientów w ramach procesów licencyjnych i rejestrowych związanych z danym rodzajem działalności,
przygotowujemy kompleksową dokumentację projektową, w tym umowy, regulaminy i zgody.
Usługi zaufania (eIDAS)
Mówi się, że rozporządzenie eIDAS to regulacja, która wyprzedziła swoje czasy. Rozporządzenie to zostało uchwalone już niemal dekadę temu i nadal najbardziej kojarzy się z materią kwalifikowanych podpisów elektronicznych. Potencjał eIDAS jest jednak zdecydowanie większy. Podpis elektroniczny jest tylko jedną z tzw. usług zaufania, dla których rozporządzenie eIDAS stworzyło ramy prawne. Poza podpisami elektronicznymi, usługi zaufania obejmują w szczególności usługi pieczęci elektronicznych i elektronicznych znaczników czasu, usługi rejestrowanego doręczenia elektronicznego, usługi certyfikatów uwierzytelniania witryn internetowych, czy usługi konserwacji elektronicznych podpisów, pieczęci lub certyfikatów.
Eksperci Kancelarii posiadają doświadczenie w zakresie przygotowywania skomplikowanych analiz prawnych na gruncie rozporządzenia eIDAS, w tym w zakresie usług zaufania świadczonych przez kwalifikowanych dostawców usług zaufania.
W czerwcu 2021 r. pojawił się wniosek Komisji Europejskiej w sprawie rozporządzenia eIDAS 2.0, które ma zmieniać rozporządzenie eIDAS. Jedną z kluczowych zmian jest stworzenie tzw. europejskiego portfela tożsamości cyfrowej. Portfele takie w założeniu mają być wydawane przez państwa członkowskie w oparciu o zharmonizowane zasady bezpieczeństwa i certyfikacji. Portfel miałby być wykorzystywany w szczególności jako samodzielny środek identyfikacji elektronicznej we wszystkich krajach UE. Prawnicy Kancelarii na bieżąco monitorują proces legislacyjny związany z uchwalaniem eIDAS 2.0.
_______
Eksperci nadzorujący praktykę
regulacji rynku finansowego
