wtorek, Lipiec 14

Nowe zasady “obchodzenia” się z elektronicznymi dokumentami bankowymi, czyli projekt rozporządzenia z art. 7 PrBank

Google+ Pinterest LinkedIn Tumblr +

W zeszłym tygodniu na stronie Rządowego Centrum Legislacji pojawił się projekt rozporządzenia w sprawie dokumentów związanych z czynnościami bankowymi, sporządzanych na informatycznych nośnikach danych. Projekt znajduje się obecnie na etapie Komisji Prawniczej i założyć należy, że większych zmian już nie uświadczymy. Rozporządzenie, które jest wydawane na podstawie art. 7 ust. 4 Prawa bankowego nie wprowadza dużych zmian, choć mamy tutaj możliwość wykorzystania technologii blockchain do utrwalenia dokumentów, a także możliwość podpisywania dokumentów z użyciem pieczęci elektronicznej (to efekt dostosowania PrBank do wymogów Rozporządzenia 910/2014 – eIDAS). Przyjrzyjmy się Rozporządzeniu.

Zacznijmy jednak od podstaw. Zgodnie z art. 7 ust. 1 PrBank oświadczenia woli związane z dokonywanie czynności bankowych mogą być składane w postaci elektronicznej, zaś ust. 2 umożliwia sporządzanie dokumentów związanych z tymi czynnościami na informatycznych nośnikach danych. Co istotne, nawet jeżeli dla danej czynności przewidziano formę pisemną (również pod rygorem nieważności), jeżeli strony umówiły się na formę elektroniczną, ten wymóg zostanie spełniony. Warunkiem jest oczywiście spełnienie wymogów powyższego przepisu, jak i Rozporządzenia.

Co istotne, forma elektroniczna nie jest możliwa w każdym przypadku. Taka forma nie będzie miała przykładowo zastosowania do czynności, o których mowa w art. 6 PrBank, chociaż w takiej sytuacji „ratować” można się art. 60 oraz 78(1) Kodeksu cywilnego (podobnie twierdzi Z. Ofiarski).

W kontekście omawianego zagadnienia istotna jest również ustawa o usługach zaufania oraz identyfikacji elektronicznej.

Definicje

Mamy tutaj dość istotną zmianę względem „starego” (2004 r.) Rozporządzenia w tym przedmiocie. Projektowane Rozporządzenie wprowadza dwa pojęcia, tj. podpisu elektronicznego oraz pieczęci elektronicznej. Co istotne, mowa tutaj o kwalifikowanym podpisie elektronicznym, ale również innym podpisie (pieczęci) elektronicznym zgodny z umową stron, a w przypadku dokumentów wewnętrznych, zgodny z jego przepisami wewnętrznymi.

To zmiana względem rozporządzenia z 2004 r., które referowało wyłącznie do ustawy o podpisie elektronicznym. Takie zdefiniowanie podpisu daje znacznie większą elastyczność w zakresie podpisywania dokumentów elektronicznych.

Kiedy mamy do czynienia z dokumentem elektronicznym?

Do utworzenia i utrwalenia wystarczy zapisanie w dokumencie elektronicznym danych związanych z czynnościami bankowymi i opatrzenie podpisem elektronicznym lub pieczęcią elektroniczną. Taki dokument możemy przekazać zasadniczo na dwa sposoby:

  1. Na informatycznym nośniku danych (płyta CD, USB-stick etc.) lub
  2. Za pomocą środków komunikacji elektronicznej (zarówno w bankowości elektronicznej, jak i za pomocą poczty e-mail).

Konieczne jest jednak zapewnienie integralności przekazywanych danych, co oznacza, że konieczne będzie wykazanie, że od chwili jego utworzenia zawartość nie uległa zmianie (ważne będzie to również dla celów dowodowych i nadzorczych). Bank powinien więc przechowywać te dokumenty wraz z logami (historią) tego co z dokumentem się działo (Kto? Gdzie? Jak? Co? Do kogo?).

Konsekwencje utworzenia dokumentu elektronicznego

Taki dokument bank musi przechowywać w swoich systemach w sposób zapewniający jego integralność i w sposób umożliwiający weryfikację treści oraz podpisu lub pieczęci. Istotną zmianą jest możliwość przechowywania takich dokumentów w formie rozproszonej i zdecentralizowanej (DLT/Blockchain) bazy danych. W takim przypadku bank ma jednak obowiązek zapewnić bezpieczeństwo i integralność danych.

Ważnym aspektem projektowanego rozporządzenia jest kwestia przenoszenia danych oraz ich usuwania po upływie okresu retencji. Po pierwsze, jeżeli okres trwałości zapisu jest krótszy niż okres retencji, to taki dokument należy przenieść na inny nośnik przed upływem tego pierwszego okresu. Ten „stary” nośnik powinien zostać tak zmodyfikowany, aby nie było możliwości odtworzenia dokumentu. W przypadku, gdy okres retencji minął, dokument należy usunąć z nośnika w sposób nieodwracalny. Nośnik podlega analogicznej modyfikacji jak powyżej.

Sam dokument należy przechowywać w co najmniej dwóch kopiach na różnych nośnikach. Nośniki te muszą dodatkowo być przechowywane w oddalonych od siebie lokalizacjach w sposób zapewniający ich bezpieczeństwo (z uwzględnieniem zasad wynikających m.in. z Wytycznych EBA w sprawie zarządzania ryzykami operacyjnymi i bezpieczeństwa – więcej w tym artykule). W tym kontekście warto zwrócić uwagę na to, że kopiowanie dokumentów może odbywać się wyłącznie pod nadzorem odpowiednio upoważnionych osób. Nośniki posiadają także unikalne identyfikatory.

Kiedy mamy bezpieczny dokument?

Zgodnie z projektem Rozporządzenia dokument jest zabezpieczony, jeżeli w sposób ciągły:

  1. jest zapewniona jego dostępność wyłącznie dla osób uprawnionych (zgodnie z zasadą wiedzy koniecznej) oraz
  2. jest chroniony przed przypadkowym lub nieuprawnionym zniszczeniem, oraz
  3. zastosowane zostały metody i środki ochrony dokumentu, których skuteczność w czasie ich zastosowania jest powszechnie uznawana (zakładam, że – bazując na Rozporządzeniu w sprawie cyberbezpieczeństwa – wystarczy spełnienie Polskiej Normy PN-EN ISO/IEC 27001).

Wiążą się z tym także dodatkowe obowiązki, które bank musi spełnić (zasadniczo tożsame ze „starym” rozporządzeniem). Bank musi więc:

  1. systematycznie dokonywać analizy zagrożeń (w tym w ramach systemu zarządzania ryzykiem – warto zwrócić uwagę na zagrożenia w zakresie CybSec);
  2. opracowywać i stosować procedury ochrony informacji i systemów ich przetwarzania, w tym procedur dostępu (zazwyczaj będzie to polityka bezpieczeństwa danych i towarzyszące jej procedury);
  3. stosować środki bezpieczeństwa adekwatne do zagrożeń (risk-based approach oraz
  4. na bieżąco kontrolować funkcjonowanie wszystkich organizacyjnych i techniczno-informatycznych sposobów ochrony informacji, a także okresowego dokonywania oceny skuteczności tych sposobów (jw.).

Termin?

Rozporządzenie ma wejść w życie w terminie 6 miesięcy od jego ogłoszenia, więc czasu jeszcze trochę zostało. Analizę luki warto zrobić już teraz.

 

Udostępnij.

Zostaw komentarz