Jak będą stosowane kary administracyjne i środki naprawcze z rozporządzenia DORA?

Unia Europejska uczestniczy w rewolucji cyfrowej na niespotykaną dotąd skalę. Żeby się do niej dobrze przygotować i wypełnić swoje zadania, przyjęła pakiet dotyczący finansów cyfrowych. Elementem tego pakietu jest rozporządzenie o operacyjnej odporności cyfrowej, potocznie zwane rozporządzeniem DORA. Za brak zgodności z zasadami określonymi w tym akcie podmiot finansowy będzie mógł otrzymać kary administracyjne i środki naprawcze w rozporządzeniu DORA.

DORA to jedno z kluczowych prawnych narzędzi budowania Europy na miarę ery cyfrowej i utworzenia gospodarki gotowej na przyszłość. Aby było to możliwe, unijny ustawodawca dąży do uzyskania efektu spójności i harmonizacji w obszarze zagrożeń wynikających z technologii ICT (czyli technologii informatyczno-telekomunikacyjnych). Służyć mają temu szczegółowe i kompleksowe ramy operacyjnej odporności cyfrowej dla unijnych podmiotów finansowych. Te z kolei wymagają egzekwowalności. Zapewnić mają ją właściwe organy, którym DORA wręcza odpowiednie narzędzia kar administracyjnych i środków naprawczych. Jakimi zasadami będą się kierować organy nadzoru w korzystaniu z nich?

• Przeszkolimy Twój zespół, aby wiedział więcej, czym jest DORA i pomożemy Ci przygotować się na jej wdrożenie

Więcej niż ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT

Rozporządzenie DORA wprowadza bardzo obszerne i szczegółowe przepisy dotyczące ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT. Robi to w celu zapewnienia przestrzegania wymogów podmiotów finansowych dotyczących współpracy z dostawcami usług ICT. Jednak nadzór nad tą grupą podmiotów to tylko jeden z elementów systemu zapewnienia cyberbezpieczeństwa. Drugim filarem jest zapewnienie zgodności z obowiązkami określonymi w rozporządzeniu DORA przez właściwe organy.

Właściwe organy zgodnie z DORA

Według rozporządzenia DORA właściwe organy to organy wyznaczone zgodnie z odpowiednimi dyrektywami wskazanymi w omawianym akcie prawnym. W praktyce dla danego podmiotu finansowego właściwymi organami nadzoru będą te organy, którym już dziś te podmioty podlegają. Przykładowo dla instytucji płatniczych czy ubezpieczycieli będzie do Komisja Nadzoru Finansowego.

• Potrzebujesz audytu w zakresie przygotowania Twojej organizacji do wdrożenia DORA? Skontaktuj się z naszą kancelarią. 

Uprawnienia właściwych organów zgodnie z DORA

Organ nadzoru otrzymuje szereg narzędzi prawnych, których będzie mógł użyć wobec zobowiązanych podmiotów finansowych, aby zapewnić zgodność działania tych podmiotów z rozporządzeniem DORA. Stąd organy te posiadają wszelkie uprawnienia do prowadzenia dochodzeń i nakładania sankcji. Do takich uprawnień należą w szczególności:

Dostęp do dokumentów

1. Możliwość uzyskania dostępu do wszelkich dokumentów i danych firmy, niezależnie od formy ich przechowywania. Chodzi o dokumenty, które właściwy organ uzna za istotne z punktu widzenia wykonywania swoich obowiązków. W praktyce więc jest to bardzo szerokie uprawnienie. Jeśli organ nie będzie mógł otrzymać oryginałów żądanych dokumentów, będzie mógł poprosić o sporządzenie ich duplikatów.

Kontrole

2. Właściwy organ ma uprawnienie do przeprowadzenia na miejscu, czyli np. w praktyce w miejscu siedziby lub wykonywania działalności przez podmiot finansowy, kontroli lub dochodzenia.

Środki naprawcze

3. W przypadku stwierdzenia nieprawidłowości, organ może wymagać zastosowania środków naprawczych w odniesieniu do naruszeń wymogów określonych rozporządzeniem DORA.

Kary administracyjne i środki naprawcze w gestii państw członkowskich

DORA dąży do ujednolicenia ram, zasad i procedur w Unii Europejskiej. Ustawodawca unijny zdaje sobie jednak sprawę, że w tym obszarze funkcjonują już liczne systemy prawa i regionalne przepisy poszczególnych państw. Może się zdarzyć, że w niektórych państwach Unii zdarzenia, które można zaliczyć do naruszeń rozporządzenia DORA, są obostrzone przepisami karnymi. Jeśli tak nie jest, to DORA nakłada na państwa członkowskie obowiązek określenia przepisów ustanawiających właściwe kary administracyjne i środki naprawcze. Mają być one reakcją na naruszenie przepisów rozporządzenia DORA i mają zapewnić ich skuteczne stosowanie. W praktyce więc przedsiębiorcy w każdym kraju będą musieli uwzględnić możliwość nałożenia na nich sankcji przez przepisy krajowych ustaw.

DORA daje ogólne wytyczne, że sankcje i środki muszą być:

• skuteczne
• proporcjnalne
• odstraszające

Wytyczne dotyczące kar administracyjnych i środków naprawczych

Choć ustanowienie właściwych kar administracyjnych i środków naprawczych przekazane zostało do decyzji państw członkowskich, to rozporządzenie DORA podaje minimalne wymogi, co takie kary i środki muszą obejmować. Oto jakie narzędzia znajdą się w skrzynce narzędziowej organów nadzorczych:

1. Wydanie nakazu zobowiązującego osobę fizyczną lub prawną do zaprzestania danego postępowania oraz do powstrzymania się od ponownego podejmowania tego postępowania.
2. Jeśli organ uzna za sprzeczne z rozporządzeniem DORA praktykę lub postępowanie podmiotu finansowego, to może wymagać tymczasowego lub stałego zaprzestania takiej praktyki lub postępowania. Dotyczy to także niedopuszczenia do ponownego podejmowania takiej praktyki lub postępowania.
3. Przyjęcie wszelkiego rodzaju środków, także o charakterze pieniężnym, które zapewnią dalsze przestrzeganie rozporządzenia DORA. Podmioty, których działania naruszają zasady rozporządzenia, mogą więc spodziewać się kar pieniężnych.
4. Jeśli operator telekomunikacyjny będzie posiadał rejestry przesyłu danych, to wystarczy zaistnienie uzasadnionego podejrzenia naruszenia przepisów rozporządzenia DORA albo fakt, że takie rejestry mogą mieć znaczenie dla dochodzenia w sprawie naruszeń przepisów DORA, aby właściwy organ mógł zażądać udostępnienia tych rejestrów. Tu ograniczenie stanowić będzie prawo krajowe, które musi zezwalać na taki zakres udostępnienia.
5. Jeśli organ stwierdzi naruszenie, to będzie mógł podać do publicznej wiadomości informacje wskazujące tożsamość osoby fizycznej lub prawnej oraz wskazanie charakteru naruszenia.

Odpowiedzialność członków zarządu i osób odpowiedzialnych za podmiot finansowy

W przypadku, gdy podmiotem naruszającym będzie osoba prawna (np. spółka), to organy nadzoru będą mogły zastosować kary administracyjne i środki naprawcze wobec członków zarządu (członków organu zarządzającego) oraz innych osób fizycznych, które w świetle prawa krajowego ponoszą odpowiedzialność za naruszenie. To uprawnienie obwarowane jest zastrzeżeniem warunków przewidzianych w prawie krajowym. Dodatkowo regulacje państw członkowskich w zakresie stosowania kar administracyjnych i środków naprawczych muszą zapewnić, aby każda taka decyzja była właściwie uzasadniona i podlegała prawu do odwołania.

Zasady wymierzania kar administracyjnych i środków naprawczych

Rozporządzenie DORA przekazując inicjatywę ustalenia kar administracyjnych i środków naprawczych do państw członkowskich, nie pozostawia jednak pełnej dowolności. Ustala bowiem zasady i reguły, które przepisy krajowe muszą wziąć pod uwagę. Wiadomo więc, że ustalając rodzaj i poziom kary lub środka, organ nadzorczy musi uwzględnić:

1. To, że będzie miało znaczenie, czy naruszenie będzie miało charakter umyślny, czy będzie wynikiem zaniedbania.
2. Inne stosowne okoliczności takiego naruszenia:

• jak bardzo istotne było to naruszenie i jaką miało wagę
• jak długo trwało
• w jakim stopniu osoba fizyczna lub prawna odpowiada za dane naruszenie
• jaka jest sytuacja finansowa osoby odpowiedzialnej za naruszenie
• jeśli można to ustalić, to jak wielka była skala korzyści uzyskanych przez osobę odpowiedzialną lub jak duże były straty, których uniknięto dzięki zachowaniu tej osoby
• jeśli można je ustalić, to jakie były straty innych osób, które poniosły je w wyniku naruszenia
• w jaki stopniu osoba odpowiedzialna za naruszenie współpracowała z właściwym organem (nie oznacza to zwolnienia tej osoby z konieczności wydania uzyskanych korzyści lub wyrównania strat unikniętych przez działanie tej osoby)
• czy osoba odpowiedzialna za naruszenie działała w warunkach recydywy, czy było to jej pierwsze naruszenie.

Obowiązek publikacji decyzji nakładających kary administracyjne

Mechanizm publikacji decyzji na oficjalnej stronie internetowej organu nadzoru jest już znany polskim podmiotom finansowym. Podobnie będzie w przypadku decyzji stwierdzającej naruszenie rozporządzenia DORA, w wyniku której nałożono karę administracyjną. Publikacja taka nastąpi dopiero wtedy, gdy adresat decyzji zostanie o niej powiadomiony i nie wniesie odwołania.

Opublikowana informacja o decyzji będzie określała temat rodzaju i charakteru naruszenia. Zapewne sporo kontrowersji wzbudzi fakt, że do wiadomości zostanie też podana tożsamość osób odpowiedzialnych, wraz z informacją o nałożonych karach. Tu DORA zastrzega jednak pewien wyjątek.

Wyjątek od bezwzględnego nakazu publikacji tożsamości osoby odpowiedzialnej

Mianowicie organ zobowiązany jest do przeprowadzenia indywidualnej oceny każdej sytuacji. Jeśli uzna, że publikacja tożsamości osoby odpowiedzialnej byłaby nieproporcjonalna, zagrażałaby stabilności rynków finansowych lub prowadzeniu toczącego się postępowania przygotowawczego w sprawie karnej, albo jeśli wyrządziłaby nieproporcjonalną szkodę stronom, których dotyczy, to organ wtedy przyjmuje jedno z innych rozwiązań dotyczących tej decyzji:

• odracza publikację decyzji do momentu, gdy wszystkie powody uzasadniające niepublikowanie przestaną być aktualne
• publikuje decyzję w formie zanonimizowanej zgodnie z prawem krajowym
• jeśli dwa powyższe punkty okażą się niewystarczające, to odstępuje od jej opublikowania, aby zagwarantować brak wwszelkiego zagrożenia dla stabilności rynków finansowych abo gdyby publikacja była nieproporcjonalna do łagodnego wymiaru nałożonej kary.

Powyższe wyjątki potwierdzają, że ustawodawca unijny zdaje sobie sprawę z konsekwencji i niedogodności związanych z publikacją tożsamości. Wytyczne wskazują, że organy nadzoru powinny stosować ten środek z dużą ostrożnością i każdorazowo analizować konkretną sytuację osoby, której taka decyzja dotyczy.

Jak długo musi być opublikowana decyzji o nałożeniu kary administracyjnej?

Decyzja zawierająca karę administracyjną za naruszenie nie musi być opublikowana na stronie internetowej organu na zawsze. Zgodnie jednak z rozporządzeniem DORA, powinna ona znajdować się tam co najmniej przez pięć lat po jej dokonaniu. Jeśli natomiast chodzi o dane osobowe osoby odpowiedzialnej za naruszenie, to będą one widoczne przez taki okres, jaki wynika z przepisów o ochronie danych.

Dowiedz się więcej o DORA

Na blogu naszej kancelarii znajdziesz coraz więcej artykułów z zakresu tematyki DORA. Akt o operacyjnej odporności cyfrowej sektora finansowego to ważny temat. Będzie o nim coraz głośniej, bo data dostosowania się do niego w Polsce zbliża się nieubłaganie. Do stycznia 2025 roku na pewno będą pojawiać się nowe pytania i zagadnienia. Kancelaria armińska radcowie prawni specjalizuje się w tematyce DORA. Doradzamy, jak się przygotować oraz oferujemy szkolenia z tego zakresu.

DORA dotyczy Twojej organizacji? Polecamy też zacząć od zapoznania się z artykułami na blogu:

• Rozporządzenie DORA: klucz do cyfrowej odporności
• Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT

Pomożemy Ci przygotować się do wdrożenia DORA w Twojej organizacji

W Polsce, jeśli jesteś instytucją finansową lub zewnętrznym dostawca usług, musisz zacząć stosować DORA od stycznia 2025 r.
Jednak nie odkładaj tego na później! Zacznij przygotowania już teraz, by wprowadzić DORA w swojej organizacji. Nasza kancelaria armińska radcowie prawni oferuje pełne wsparcie, które ułatwi Twojej firmie dostosowanie do nowych przepisów.

Radca prawny Katarzyna Armińska-Waszczyk, właścicielka kancelarii armińska radcowie prawni, miała przyjemność poprowadzić w marcu 2024 r. , na zaproszenie Rzeczpospolita Konferencje, szkolenie pt. „Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT – omówienie wybranych wymagań Rozporządzenia DORA.” Zachęcamy do śledzenia zbliżających się szkoleń, na których regularnie dzielimy się wiedzą z zakresu DORA, Legal Design, czy nowych technologii.

Nasze usługi obejmują m.in.:

• szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA i najlepszych metod zarządzania ryzykiem cyfrowym,
• dokładne audyty, które pozwolą na ocenę poziomu zgodności Twojej instytucji z nadchodzącymi zmianami,
• pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.

Skontaktuj się z nami, aby umożliwić swojej firmie efektywne przygotowanie na wdrożenie DORA.

Podsumowanie

Jesteśmy w momencie, w którym trwa dwuletnie vacatio legis wdrożenia rozwiązań przewidzianych w rozporządzeniu DORA. Kwestie omówionych sankcji zostały przekazane do uregulowania przez krajowego ustawodawcę. Już jednak z samej lektury DORA można dziś ustalić zasady i wytyczne, z jakimi przepisy krajowe muszą być zgodne. Pozwoli to już dziś podmiotom finansowym przewidzieć i przygotować się do nowych rozwiązań.

Dziś DORA wciąż generuje wiele pytań i niepewności. Jednak jej lektura pozwala jednocześnie na udzielenie wielu odpowiedzi. Wiadomo już, że z racji zakresu tej regulacji, nie ma możliwości, aby zobowiązane podmioty wdrożyły u siebie stosowne procedury w dwa miesiące. Dlatego jesteś podmiotem finansowym zobowiązanym zgodnie z DORA, już teraz zamów audyt swoich procedur oraz dokumentów i przygotuj plan działania wdrożeniowego. Kancelaria radcowie prawni pomoże Ci zarządzić całym procesem. Przeprowadzi także szkolenia z rozporządzenia DORA dla Twoich pracowników i zarządu. Skontaktuj się z nami.

Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.