Raport specjalny – „Ranking największych banków w Polsce”: Na falach regulacji

BANK 2018/06

Regulacyjne tsunami, które przetacza się przez polską bankowość wcale nie słabnie. W 2018 r. pojawiają się kolejne fale: RODO, PSD2, MiFID II i kilkanaście pomniejszych…

Regulacyjne tsunami, które przetacza się przez polską bankowość wcale nie słabnie. W 2018 r. pojawiają się kolejne fale: RODO, PSD2, MiFID II i kilkanaście pomniejszych…

Ewa Kadys

W roku ubiegłym w życie weszły regulacje dotyczące kredytów hipotecznych oraz podstawowe usługi płatnicze. Dwa lata temu nowe zasady reklamacji, Funduszu Wsparcia Kredytobiorców oraz ograniczenia pozaodsetkowych kosztów kredytu. Wydawać by się mogło, że banki będą utyskiwać najbardziej na regulacje unijne, ale jak się okazuje, nie tylko przystosowanie do dyrektyw będzie dla sektora problemem.

Pierwsze zmiany weszły w życie już pierwszego dnia nowego roku, gdyż to właśnie wtedy wprowadzono nowe zasady uiszczania należności wobec Zakładu Ubezpieczeń Społecznych. Nowelizacja wymusiła ujednolicenie transferów, a banki przestały oferować usługę „przelew do ZUS”. Od 1 stycznia przedsiębiorcy mogą regulować składki zwykłym przelewem na podany przez ZUS numer rachunku. Rozdzieleniem pieniędzy na poszczególne cele zajmie się jego system informatyczny.

2 stycznia rano Bank Gospodarstwa Krajowego rozpoczął przyjmowanie wniosków o dofinansowanie wkładu własnego w ramach programu „Mieszkanie dla Młodych”, a wieczorem 3 stycznia ogłosił, że 380 mln zł przeznaczonych na ten cel właśnie się skończyło i bank wstrzymuje przyjmowanie wniosków. Była to ostatnia szansa dla kredytobiorców, by skorzystać z programu rządowych dopłat. Program „Mieszkanie dla Młodych” miał działać do 31 grudnia 2018 r. Jednak wstrzymanie przyjmowania wniosków oznacza jego faktyczny koniec.

Z danych BGK, wynika, że w 2014 r. z programu MdM wykorzystano 34% dofinansowania (207 mln zł), w 2015 r. – 84% (520,7 mln zł), w 2016 r. – 96% (701 mln zł), a w 2017 r. – 99% (740 mln zł). Zamiast popularnego MdM-u rząd będzie propagował program „Mieszkanie Plus”, promujący długoterminowy wynajem.

Rachunek za darmo

8 lutego w życie weszła większość zapisów uchwalonej pod koniec listopada 2016 r. ustawy o usługach płatniczych będącej krajową wersją unijnej dyrektywy PAD. Jedną z najważniejszych zmian wprowadzonych przez nowe przepisy jest obowiązkowe wprowadzenie do oferty darmowego pakietu usług w ramach tzw. rachunku podstawowego. Zgodnie z ustawą bezpłatnych ma być pięć transakcji płatniczych w miesiącu i pięć operacji w obcych bankomatach i wpłatomatach.

Podstawowy rachunek będzie mógł założyć klient, który nie posiada jeszcze konta w banku lub SKOK-u prowadzonego w złotych. Celem ustawy jest przede wszystkim poszerzenie dostępu do obrotu bezgotówkowego, ale obecni klienci banków i SKOK-ów, jeśli nie mają wysokich wymagań, będą mogli też skorzystać z oferty po zlikwidowaniu obecnego konta.

Przepisy przewidujące sankcje za brak podstawowego rachunku w ofercie wejdą w życie po dwudziestu miesiącach od dnia ogłoszenia ustawy, w sierpniu 2018 r.

W tym samym terminie banki będą musiały zacząć stosować się do nowych obowiązków informacyjnych. Przed założeniem rachunku każdy klient otrzyma zestawienie wszystkich opłat – ustandaryzowany formularz wymieniający poszczególne usługi i stawki. Ujednolicenie czeka terminologię. Wszyscy dostawcy będą zmuszeni do stosowania tych samych terminów zdefiniowanych w rozporządzeniu. W założeniu nowe zasady mają uprościć porównania i dać konsumentom rzetelną i łatwo dostępną informację, zanim zdecydują się na wybór konta w banku, SKOK-u lub instytucji płatniczej.

Osoby, które posiadają już rachunki w banku, w myśl ustawy będą otrzymywać dwa razy do roku zestawienie opłat za usługi powiązane z rachunkiem. Taka informacja, podobnie jak ta wręczana nowym klientom, będzie miała ujednoliconą formę i będzie bazowała na wykazie usług reprezentatywnych.

Zamieszanie z terminami

14 lutego banki nieco odetchnęły, gdy prezydent Andrzej Duda podpisał nowelizację ustawy o dystrybucji ubezpieczeń, opóźniającą wejście przepisów z 23 lutego na 1 października 2018 r. Ustawa przenosi do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady UE. Termin wejścia w życie nowych przepisów przesunięto, ponieważ w Unii Europejskiej procedowany jest wniosek Komisji Europejskiej zakładający odroczenie terminu rozpoczęcia dyrektywy od 1 października 2018 r. Ustawa przewiduje, że klienci będą korzystać z jednakowej ochrony, niezależnie od różnic między kanałami dystrybucji ubezpieczeń.

Klient ma otrzymywać odpowiednie informacje o produkcie ubezpieczeniowym i dystrybutorze ubezpieczenia. Ponadto ustawa zobowiązuje dystrybutorów ubezpieczeń do uczciwego, rzetelnego i profesjonalnego postępowania, zgodnie z najlepiej pojętym interesem klientów. Wszystkie informacje mają być klientom „przekazywane w sposób prosty i zrozumiały”.

W ustawie uregulowano też m.in. kwestie ujawniania przez dystrybutorów ubezpieczeń charakteru ich wynagrodzenia. W rezultacie będą musieli ujawnić, czy za swoją pracę otrzymują honorarium (płacone bezpośrednio przez klienta), prowizję (uwzględnioną w kwocie składki ubezpieczeniowej) czy jakiś inny rodzaj wynagrodzenia. Klient otrzyma również podstawowe informacje o produkcie ubezpieczeniowym, jeśli dystrybutorem będzie zakład ubezpieczeń.

W ustawie znajdują się szczególne regulacje dotyczące ubezpieczeń o charakterze inwestycyjnym. Wprowadza ona zakaz sprzedaży krzyżowej.

W przypadku umów ubezpieczenia na życie o charakterze inwestycyjnym, ustawa zobowiązuje agentów ubezpieczeniowych, zakłady ubezpieczeń i brokerów ubezpieczeniowych do informowania klientów o wysokości wskaźnika kosztów dystrybucji oraz wskaźnika kosztów prowizji związanych z proponowaną umową ubezpieczenia.

Przed zawarciem umowy ubezpieczenia dystrybutor określał będzie, na podstawie uzyskanych od klienta informacji, jego wymagania i potrzeby oraz podawał mu w zrozumiałej formie informacje o produkcie ubezpieczeniowym. Dystrybutorzy będą musieli również przekazywać informacje jasne i rzetelne, w formie papierowej lub, na życzenie klienta, w formie innego nośnika.

Podzielona płatność

Zmiana terminu wejścia w życie ustawy o dystrybucji ubezpieczeń nie była pierwszym zamieszaniem z datą obowiązywania nowych przepisów. Tuż przed końcem ubiegłego roku, na wniosek kilku banków, zdecydowano, że split payment wejdzie nie od kwietnia, a od lipca 2018 r. Nie była to pierwsza zmiana, bo wcześniej termin przełożono z 1 stycznia na 1 kwietnia 2018 r. Banki zwróciły uwagę, że aby nowy system rozliczania VAT zadziałał w pełni, to każdy z nich powinien umożliwiać robienie przyporządkowanych mu przelewów.

– Tylko wtedy będzie to miało sens i zadziała optymalnie. Kilka miesięcy temu zapytaliśmy banki, jak szybko są w stanie przygotować się do obsługi split payment. Otrzymaliśmy różne odpowiedzi, niektóre twierdziły, że muszą mieć na to nawet 12–15 miesięcy – wyjaśnił Krzysztof Pietraszkiewicz, prezes Związku Banków Polskich. – Tempo przygotowań zależy od tego, jak konkretny bank radzi sobie z innymi modyfikacjami systemu, które musi wprowadzić choćby ze względu na unijne regulacje: dyrektywę o kredycie mieszkaniowym, „ostrożnościową” dyrektywę CRD czy nową wersję dyrektywy o usługach płatniczych (PSD2) – wymieniał jednym tchem szef ZBP.

Od 1 lipca br. nabywca, który otrzymał fakturę za towar lub usługę, będzie mógł podzielić cenę na dwie części. Kwota netto będzie trafiała na zwykły rachunek bankowy, pozostała część na oddzielny rachunek VAT. Mechanizm podzielonej płatności polega na tym, że nabywca będący podatnikiem, regulując fakturę, wpłaca na specjalny rachunek VAT sprzedawcy kwotę całości lub części VAT z faktury, natomiast kwota netto (jej całość lub część) trafia na bieżący rachunek bankowy przedsiębiorcy, do którego prowadzony jest rachunek VAT. Pieniądze zgromadzone na rachunku VAT będą wprawdzie własnością sprzedawcy, ale dysponowanie nimi będzie ograniczone.

PSD2 na tapecie

Termin wdrożenia dyrektywy PSD2 minął 18 stycznia 2018 r., tymczasem pierwsze głosowania odbyły się w Sejmie dopiero pod koniec marca. Po wprowadzeniu poprawek przez Senat i zaakceptowaniu ich przez Komisję Finansów Publicznych ustawa w maju wróciła do Sejmu.

Dyrektywa UE wprowadza możliwość, by podmioty trzecie (TPP), np. spółki technologiczne świadczące usługi finansowe, mogły uzyskać dostęp do bankowych danych klienta i za jego zgodą zainicjować z rachunku płatność. Startupy testujące nowe rozwiązania będą mogły postarać się o licencję małej instytucji płatniczej. Aby TPP mogły uzyskać dostęp do danych klienta, niezbędny jest odpowiedni interfejs (tzw. PolishAPI) do kontaktowania się z bankami. Pierwsza jego wersja została zaprezentowana w kwietniu przez Związek Banków Polskich. Bankowcy proponują dwie metody autoryzacji. Pierwsza to przekierowanie na stronę banku i logowanie przy użyciu hasła i loginu, tak jak to się odbywa w przypadku popularnych w naszym kraju płatności pay-by-link. Natomiast druga możliwość to uwierzytelnienie przy użyciu zewnętrznego narzędzia, jak choćby kod jednorazowy.

Zalecenia UE wprowadzają każdorazowo obowiązek stosowania silnego uwierzytelniania użytkowników przy zdalnym dostępie do rachunku, inicjowaniu transakcji elektronicznych oraz dokonywaniu operacji, które mogą wiązać się z ryzykiem oszustwa. Wymogi te zmienią sposób korzystania z bankowości elektronicznej oraz dokonywania płatności – np. poprzez wymaganie dodatkowego potwierdzenia przy niektórych operacjach.

Nowe przepisy wprowadzają też nowy tryb rozstrzygania reklamacji. Dostawcy usług płatniczych będą mieli 15 dni, by odpowiedzieć na skargę, kwota stanowiąca limit odpowiedzialności płatnika za nieautoryzowane transakcje zostanie obniżona ze 150 do 50 euro.

Koniec pośredników kredytowych?

MiFID II to kolejna unijna dyrektywa, która miała zacząć obowiązywać od początku stycznia, tymczasem projekt ustawy wdrażający te przepisy został przyjęty przez rząd tydzień po tym terminie, a trzy tygodnie później trafił do Sejmu.

Nowe przepisy radykalnie zmieniają sposób sprzedaży produktów finansowych, nakładając na banki, fundusze inwestycyjne oraz domy maklerskie wiele obowiązków informacyjnych. MiFID II jest bowiem aktualizacją regulacji z 2007 r., która wprowadziła potrzebę wypełniania przez klientów specjalnych ankiet, mających określać ich profil inwestycyjny (np. skłonność do ryzyka), co w konsekwencji miało ich ustrzec przed niechcianym produktem finansowym. Kilka lat temu Komisja Europejska uznała, że ochrona konsumentów jest za słaba, a przepisy nieskuteczne i postanowiła zaktualizować przepisy. Zmiany dotkną sprzedawców funduszy inwestycyjnych, ubezpieczeń, a także produktów hipotecznych. Polska wersja ustawy została oprotestowana przez pośredników kredytowych, którzy uznali, że nowe przepisy są zbyt restrykcyjne i właściwie wyeliminują ich z rynku.

Administrator oraz podmiot przetwarzający dane będą musieli liczyć się z realną możliwością poniesienia odpowiedzialności administracyjnej, karnej oraz cywilnej. Wszczęcie postępowania sądowego przeciwko administratorowi lub podmiotowi przetwarzającemu dane będzie możliwe niezależnie od skarg złożonych do nadzoru.

Uwaga, wchodzi RODO

Na szczęście wdrożenie owianego złą sławą ogólnego rozporządzenia o ochronie danych osobowych, GDPR/RODO, które wciąż budzi wiele kontrowersji, zostało w naszym kraju przygotowane w odpowiednim czasie. Zgodnie z unijnymi przepisami przedsiębiorstwa miały czas do 25 maja, by wywiązać się ze wszystkich zmian.

W tym wypadku uregulowanie kwestii ochrony danych osobowych w rozporządzeniu, a nie jak do niedawna w dyrektywie, ma na celu ujednolicenie przepisów we wszystkich państwach Unii Europejskiej i ułatwienie na ich terytorium prowadzenia działalności gospodarczej. W ten sposób wyeliminowane zostaną rozbieżności w prawie ochrony danych osobowych w poszczególnych krajach UE i dzięki temu będą mogli stosować jednolity formularz zgody na przetwarzanie danych osobowych we wszystkich państwach, w których prowadzą działalność.

Nowe przepisy zawierają zamknięty katalog sytuacji, w których przetwarzanie danych może zostać uznane za zgodne z prawem. Aby ten proces mógł zostać uznany za legalny, musi spełniać jeden z następujących warunków:

  • osoba, której informacje dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych;
  • przetwarzanie jest niezbędne do wypełnienia umowy, której stroną jest osoba udostępniająca dane;
  • przetwarzanie jest nieodzowne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest konieczne do ochrony interesów osoby, której dane dotyczą;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do wypełnienia celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter mają interesy lub podstawowe prawa i wolności osoby udostępniającej dane, w szczególności gdy jest nią dziecko.

GDPR/RODO znosi wymóg rejestracji zbiorów danych osobowych i zastępuje go obowiązkiem prowadzenia wewnętrznego rejestru operacji ich przetwarzania (w odniesieniu do niektórych przedsiębiorstw). Obowiązek prowadzenia rejestru obejmuje firmy zatrudniające powyżej 250 pracowników, jeśli przetwarzanie danych niesie zagrożenie dla praw i wolności osób, nie ma charakteru sporadycznego lub obejmuje dane wrażliwe. Rejestr powinien uwzględniać cel przetwarzania i kategorie odbiorców, których dane osobowe zostały ujawnione oraz informacje o transferze do państw trzecich. Rejestry powinny być udostępnione na każde żądanie organu nadzoru.

Kary budzą grozę

Administratorzy oraz podmioty przetwarzające informacje, które prowadzą działalność na terenie Unii Europejskiej, będą podlegać, tak jak dotychczas, unijnym regulacjom dotyczącym ochrony danych osobowych. Obowiązek stosowania GDPR/RODO nałożony zostanie na niektóre rodzaje podmiotów spoza Unii Europejskiej, które dotychczas nie podlegały obowiązującym przepisom. W ten sposób Bruksela chciała zabezpieczyć interesy firmy europejskich i wyrównać szanse w starciu z pozaunijną konkurencją. Podmioty mające siedziby poza Unią będą miały obowiązek zapewnienia zgodności z GDPR/RODO, gdy przetwarzanie danych wiąże się z oferowaniem towarów lub usług osobom na terenie Unii oraz gdy podmiot chce monitorować ich zachowania w sieci.

Jednym z elementów nowych regulacji są drakońskie kary za nieprzestrzeganie przepisów. Jeśli użytkownik uzna, że jego dane są przetwarzane niezgodnie z przepisami, będzie miał prawo:

  • do wniesienia skargi do organu nadzorczego, jeśli sądzi, iż przetwarzanie danych osobowych jego dotyczących narusza GDPR/RODO;
  • do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji nadzoru dotyczącej użytkownika;
  • do skutecznego środka ochrony prawnej przed sądem, przeciwko administratorowi lub podmiotowi przetwarzającemu dane.

Administrator oraz podmiot przetwarzający dane będą musieli liczyć się z realną możliwością poniesienia odpowiedzialności administracyjnej, karnej oraz cywilnej. Wszczęcie postępowania sądowego przeciwko administratorowi lub podmiotowi przetwarzającemu dane będzie możliwe niezależnie od skarg złożonych do nadzoru.

Kary nakładane dzisiaj mają na celu zmuszenie podmiotu do wykonania decyzji Generalnego Inspektora Ochrony Danych Osobowych i nie występują często. Rozporządzenie ujednolica oraz znacząco podwyższa kary finansowe za naruszenie przepisów o ochronie danych osobowych. Ich maksymalna wysokość jest wielokrotnie wyższa. Sankcje w myśl nowych przepisów mogą sięgać nawet 20 mln euro lub 4% całkowitego globalnego obrotu za rok poprzedni – w zależności, który wymiar będzie dla przedsiębiorcy dotkliwszy.

Niezałatwione sprawy

Przedstawione powyżej regulacje wcale nie wyczerpują katalogu przepisów, do których muszą się przystosować banki. Dla całego sektora ważne będą losy IV dyrektywy AML (w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu oraz rozporządzenie w sprawie informacji towarzyszących transferom środków pieniężnych), którą Parlament Europejski przyjął 20 maja 2015 r. Polska powinna wdrożyć ją do swojego porządku prawnego do połowy roku.

Stosowanie nowych przepisów ma zapewnić integralność, stabilność i wiarygodność sektora finansowego oraz wzmacniać rynek wewnętrzny Unii Europejskiej poprzez skuteczne śledzenie transferów finansowych. W myśl dyrektywy polscy politycy i urzędnicy wyższego szczebla oraz ich rodziny będą poddawani zwiększonym środkom bezpieczeństwa przed zawarciem umowy z bankiem, w tym będą musieli uzyskać zgodę wyższej kadry kierowniczej banku na jej podpisanie.

IV dyrektywa AML nakazuje również ograniczenie kręgu podmiotów, którym instytucja zobowiązana może powierzyć czynności z zakresu przeciwdziałania praniu pieniędzy. To zaś może mieć wpływ na kształt rynku pośrednictwa kredytowego. Cały proces dostosowania instytucji finansowych do nowych obowiązków jest długotrwały i kosztochłonny. Duże trudności dla banków może dodatkowo rodzić krótki termin na wprowadzenie pełnego zakresu zmian.

Kolejna sprawa, która lada chwila powinna znaleźć swój finał, to nowelizacja ustawy o BFG, będącej implementacją dyrektywy BRRD. Opracowano ją w reakcji na kryzys finansowy, a wprowadziła ona tzw. mechanizm bail-in, pozwalający na sfinansowanie procesu restrukturyzacji lub likwidacji banku przy pomocy kapitału i części zgromadzonych depozytów. Taka procedura miała jednak stanowić ostateczność i miała dotyczyć oszczędności nieobjętych ustawową ochroną.

Obecny projekt noweli doprecyzowuje „regulacje w zakresie hierarchii wierzytelności”, gdyż obecne przepisy w postępowaniu upadłościowym banków w niedostateczny sposób pozwalają na zabezpieczenie prawidłowej wykonalności instrumentu bail-in.

Udostpnij artyku: