FIDA – Otwarte finanse – jakie zmiany zapowiada projekt regulacji?

Autor: Anna Kwiatkowska Bartosz Bigaj

28 czerwca 2023 r. KE opublikowała projekt regulacji dotyczącej otwartych finansów. To Rozporządzenie w sprawie ram dostępu do danych finansowych (Regulation on a framework for Financial Data Access – FIDA). Co ten projekt zmieni w podejściu do danych klientów zakładów ubezpieczeń?

Komisja Europejska przygotowując FIDA odwołuje się do potencjalnych korzyści związanych z wymianą danych finansowych dla obywateli EU. Celem FIDA jest wykorzystanie pełnego potencjału drzemiącego w usługach doradztwa inwestycyjnego i finansowego.

Jednak koncepcja otwartych finansów wywołała już sporo komentarzy. O pracach dotyczących projektu pisaliśmy na blogu PIU: Open Finance – czyli jak Unia Europejska chce zrewolucjonizować rynek finansowy? Wtedy mieliśmy jednak więcej niewiadomych niż potwierdzonych informacji, znaliśmy jedynie założenia projektu przedstawione przez Komisję Europejską w planach dotyczących rozwoju unii kapitałowej i rozwoju unii danych. Teraz znamy już projekt regulacji.

Nowy projekt Komisji Europejskiej odpowiada częściowo na uwagi rynku przedstawione w 2022 r. przez branżę w trakcie konsultacji publicznych. Oczywiście, diabeł tkwi w szczegółach. Wątpliwości budzi zaproponowany harmonogram prac. Rozporządzenie powinno zostać przyjęte do końca kadencji Parlamentu Europejskiego, czyli do czerwca 2024. To bardzo krótko na wypracowanie kompromisu przez unijnych legislatorów, szczególnie patrząc na liczbę zgłoszonych zastrzeżeń na etapie prekonsultacyjnym oraz z uwagi na zbliżający się rok wyborczy.

Czy otwarta bankowość nadaje się dla ubezpieczycieli?

Pierwsza wątpliwość wiąże się z faktem, iż regulacje dla sektora ubezpieczeniowego oparte są o regulacje bankowe z dyrektywy PSD2. Produkty i umowy ubezpieczeniowe są mniej ustandaryzowane niż w te w bankowości. Jednocześnie są bardziej wrażliwe i zróżnicowane w ramach rynków krajowych. Dodatkowo częstotliwość transakcji bankowych jest znacznie większa niż transakcji w sektorze ubezpieczeń. Ubezpieczyciele w swojej działalności skupiają się też na długoterminowej perspektywie. Te różnice trzeba uwzględniać.

Dostęp i wymiana danych finansowych klientów – czyli jakich?

Kolejnych wątpliwości dostarcza brak precyzji w samym rozporządzeniu FIDA. Przykładowo w zakresie definicji danych konsumenta. Rozporządzenie mówi zarówno o danych osobowych i nieosobowych, a także o danych przekazanych bezpośrednio przez klienta oraz wygenerowanych na skutek interakcji klienta z instytucją finansową. Szczególnie ta ostatnia kategoria jest dla branży ważna. Dane wygenerowane przez zakład na podstawie informacji pozyskanych od klienta mogą dotyczyć informacji, które były np. przetworzone przez indywidualne systemy underwritingowe, a tym samym mogą naruszać prawa autorskie chroniące zbiory danych, dane chronione tajemnicą przedsiębiorstwa, czy inne dane wrażliwe. W rozporządzeniu nie ma przepisów, które jednoznacznie zapewniałyby ochronę tego rodzaju danych.

Szeroki katalog produktów finansowych

Rozporządzenie FIDA z jednej strony zawiera bardzo niejasne definicje dotyczące danych podlegających wymianie, z drugiej zaś wskazuje na szeroki katalog produktów finansowych, które mają być ich źródłem. Należą do nich pracownicze programy emerytalne, europejskie indywidualne produkty emerytalne, ubezpieczeniowe produkty inwestycyjne, ubezpieczenia majątkowe, rachunki oszczędnościowe czy nawet kryptoaktywa. Ubezpieczenia, które nie mogą być źródłem informacji podlegających wymianie to ubezpieczenia zdrowotne, ubezpieczenia medyczne oraz ochronne ubezpieczenia na życie.

FIDA – Kto będzie musiał udostępnić dane, a kto będzie mógł je pozyskać?

Rozporządzenie FIDA będzie stosowane niemalże do wszystkich podmiotów działających na rynku finansowym. W sektorze ubezpieczeniowym są to zakłady ubezpieczeń i reasekuracji, instytucje pracowniczych programów emerytalnych oraz pośredników ubezpieczeniowych, w tym także oferujących ubezpieczenia uzupełniające. Oprócz ubezpieczycieli danymi będą musiały też się dzielić m.in. instytucje kredytowe, płatnicze, firmy inwestycyjne, a nawet dostawcy usług związanych z kryptoaktywami.

Posiadacze danych

Co ważne instytucje finansowe będą występować w podwójnej roli – jako posiadacze danych (data holder) oraz użytkownicy danych (data user). Działając w roli posiadacza danych, na wniosek klienta, będą musiały udostępnić mu wnioskowane dane bądź też przekazać je bezpośrednio do posiadacza danych. Będą musiały zrobić to bez zbędnej zwłoki i w czasie rzeczywistym. Rozporządzenie FIDA nakłada również obowiązek tworzenia dla klientów narządzi do zarządzania swoimi danymi – tworzenia „pulpitów nawigacyjnych”. Warto podkreślić, że instytucje finansowe będą mogły pobierać wynagrodzenie tylko, gdy klient poprosi o przekazanie danych do nowego użytkownika danych i to pod pewnymi warunkami.

Z kolei jako posiadacze danych instytucje finansowe będą pozyskiwać informacje związane z posiadanymi przez klientów produktami finansowymi. Co ważne, do udostępniania danych będą zobowiązane wszystkie podmioty wymienione w FIDA. Otrzymywać dane będą mogły jednak tylko podmioty nadzorowane, które uzyskały odpowiednie zezwolenia na prowadzenie działalności.

Rozporządzenie FIDA nie zawiera szczegółowych przepisów dotyczących międzysektorowej wymiany danych czy przepisów dotyczących dostępu do danych przez firmy Big-Tech.

Równe zasady dla nowych graczy

FIDA wprowadza nową kategorię podmiotów mogących uczestniczyć w wymianie danych finansowych – dostawcę usługi informacji finansowej (financial information service provider). Dostawcy informacji finansowej mogą być tylko użytkownikami danych, czyli wyłącznie je pozyskiwać bez konieczności udostępniania. Będą jednak musieli uzyskać zezwolenie do prowadzenia działalności i wykazać się wysokim poziomem cyfrowej odporności zgodnie z wymogami Rozporządzenia DORA, w szczególności w odniesieniu do bezpieczeństwa technicznego i ochrony danych osobowych.

FIDA – Przekazywanie danych finansowych tylko za zgodą klienta

Dane finansowe będą przekazywane, tylko i wyłącznie pod określonymi warunkami. FIDA daje klientom kontrolę do decydowania o tym, w jaki sposób i przez kogo ich dane finansowe będą wykorzystane. Klienci udzielą firmom zgody na dostęp do swoich danych finansowych w celu uzyskania nowych usług finansowych i informacyjnych. Co istotne, żądanie takie będzie mógł też w imieniu klienta złożyć sam użytkownik danych, czyli zakład ubezpieczeń albo inna instytucja – jednak tylko w przypadku, gdy ma ważną podstawę prawną zgodną z rozporządzeniem RODO.

Udzielone zgody mogą być wycofane przez klienta w każdym czasie. Aby zapewnić klientowi możliwość wycofania zgód, posiadacze danych muszą przygotować dla nich odpowiednia narzędzie, czyli panel uprawnień dostępu do danych finansowych (permission dashbord) do monitorowania i zarządzania udzielonymi zgodami. To oznacza, że zakłady ubezpieczeń i tak muszą przygotować się technicznie, by udostępnić klientowi jego dane osobowe oraz finansowe i opracować wspólne standardy, interfejsy techniczne oraz schematy dotyczące udostępniania danych klientów i to w obszarze wszystkich państw unijnych. Wprowadzenie obowiązku udostępniania danych zgodnie z nowymi wymogami FIDA może zwiększyć koszty produktów ubezpieczeniowych, ponieważ każdy produkt będzie musiał mieć zaprojektowany i wdrożony mechanizm wymiany danych (serwowania i pobierania danych) oraz nowe procesy np. przeniesienia produktu ubezpieczeniowego pomiędzy towarzystwami w trakcie jego trwania.

Na marginesie warto podnieść potencjalne ryzyko dyskryminacji konsumentów, którzy nie zdecydują się udostępniać swoich danych lub nie korzystają z osiągnięć digitalizacji.

W jaki sposób dane finansowe będą przekazywane?

FIDA zobowiązuje kraje członkowskie do zbudowania „systemów udostępniania danych finansowych” (financial data sharing schemes), czyli baz, do których instytucje finansowe zarówno jako posiadacze jak i użytkownicy danych będą musiały należeć, jeżeli będą chciały wymieniać się danymi finansowymi. Systemy te będą mogą wdrożyć same zakłady, banki lub wyspecjalizowane firmy IT. By taki system powstał, opracowane zostaną tzw. RTS czyli regulacyjne standardy techniczne, które szczegółowo uregulują zasady udostępniania danych, API, modele interfejsów, zakresy danych osobowych i finansowych, standard umowy przystąpienia do systemu, zarządzanie takimi systemami, zasady rekompensaty, odpowiedzialność uczestników systemu i przepisy dotyczące rozstrzygania sporów. Każdy system będzie musiał być zgłoszony właściwym organom. Na poziomie unijnym to Europejski Urząd Nadzoru Bankowego (EBA) będzie prowadzić publiczny rejestr takich systemów.

Wymiana danych finansowych klientów z różnych krajów może nie przynieść oczekiwanego rezultatu

Specyfika sektora ubezpieczeń prowadzi do ograniczenia standaryzacji i porównywalności produktów ubezpieczeniowych w poszczególnych krajach. To kolejny istotny problem, na który musimy zwrócić uwagę. Większość produktów ubezpieczeniowych nie jest porównywalna między państwami członkowskimi ze względu na różnice w jurysdykcji, strukturze zbiorów danych referencyjnych czy strukturze usług socjalnych, ale też różnice w systemach podatkowych, preferencjach klientów, praktykach rynkowych itp. Rozwiązania ubezpieczeniowe były przez dziesięciolecia dostosowywane do potrzeb lokalnego rynku, a zatem harmonizacja poprzez obowiązkowe upublicznienie „dashboardów danych” służące porównywaniu produktów może mieć bardzo ograniczoną skuteczność. Co więcej, istnieje ryzyko nadmiernej standaryzacji produktów w skali całego rynku europejskiego, prowadzącej do ujednolicenia produktów i do osłabienia konkurencji i utrudnienia innowacji.

Czy to wszystko za darmo?

Posiadacze danych będą mieć możliwość żądania od użytkowników danych rozsądnej rekompensaty za wprowadzenie API do systemu udostępniania informacji. Ma to zapewnić sprawiedliwy podział kosztów związanych z transmisją danych.

Jeśli mówimy o kosztach, to warto też zaznaczyć,  że rozporządzenie FIDA nakłada na sektor finansowy kolejne obowiązki sprawozdawcze i nadzorcze oraz dotkliwe kary za ewentualne uchybienia w ich realizacji oraz kary za niewłaściwe administrowanie danymi finansowymi.

Co dalej?

Rozporządzenie FIDA przejdzie przez unijny proces legislacyjny. Obejmie to zarówno proces konsultacji publicznych oraz trylogii – negocjacje trójstronne między Komisją Europejską, Parlamentem Europejskim i Radą Europejską. Nie może tu zabraknąć głosu rynku, zwłaszcza że warto podkreślać specyfikę naszej branży.