28 czerwca Komisja Europejska opublikowała projekt regulacji dotyczącej otwartych finansów. To rozporządzenie w sprawie ram dostępu do danych finansowych (Regulation A Farmework For Financial Data AccesS – FIDA). Anna Kwiatkowska i Bartosz Bigaj, eksperci Polskiej Izby Ubezpieczeń, tłumaczą, co ten projekt zmieni w podejściu do danych klientów zakładów ubezpieczeń.
Nowy projekt Komisji Europejskiej odpowiada częściowo na uwagi rynku przedstawione w 2022 r. przez branżę w trakcie konsultacji publicznych. Wątpliwości budzi zaproponowany harmonogram prac. Rozporządzenie powinno zostać przyjęte do końca kadencji Parlamentu Europejskiego, czyli do czerwca 2024. To bardzo krótko na wypracowanie kompromisu przez unijnych legislatorów, szczególnie patrząc na liczbę zgłoszonych zastrzeżeń na etapie prekonsultacyjnym oraz z uwagi na zbliżający się rok wyborczy.
Czy otwarta bankowość nadaje się dla ubezpieczycieli?
Pierwsza wątpliwość wiąże się z faktem, iż regulacje dla sektora ubezpieczeniowego oparte są o regulacje bankowe z dyrektywy PSD2. Produkty i umowy ubezpieczeniowe są mniej ustandaryzowane niż w te w bankowości. Jednocześnie są bardziej wrażliwe i zróżnicowane w ramach rynków krajowych. Dodatkowo częstotliwość transakcji bankowych jest znacznie większa niż transakcji w sektorze ubezpieczeń. Ubezpieczyciele w swojej działalności skupiają się też na długoterminowej perspektywie. Te różnice trzeba uwzględniać.
Dostęp i wymiana danych finansowych klientów – czyli jakich?
Kolejnych wątpliwości dostarcza brak precyzji w samym rozporządzeniu FIDA. Przykładowo w zakresie definicji danych konsumenta. Akt mówi zarówno o danych osobowych i nieosobowych, jak i o danych przekazanych bezpośrednio przez klienta oraz wygenerowanych na skutek interakcji klienta z instytucją finansową. Szczególnie ta ostatnia kategoria jest dla branży ważna. Dane wygenerowane przez zakład na podstawie informacji pozyskanych od klienta mogą dotyczyć informacji, które były np. przetworzone przez indywidualne systemy underwritingowe, a tym samym mogą naruszać prawa autorskie chroniące zbiory danych, dane chronione tajemnicą przedsiębiorstwa czy inne dane wrażliwe. W rozporządzeniu nie ma przepisów, które jednoznacznie zapewniałyby ochronę tego rodzaju danych.
Szeroki katalog produktów finansowych
Rozporządzenie FIDA z jednej strony zawiera bardzo niejasne definicje dotyczące danych podlegających wymianie, z drugiej zaś wskazuje na szeroki katalog produktów finansowych, które mają być ich źródłem. Należą do nich pracownicze programy emerytalne, europejskie indywidualne produkty emerytalne, ubezpieczeniowe produkty inwestycyjne, ubezpieczenia majątkowe, rachunki oszczędnościowe czy nawet kryptoaktywa. Ubezpieczenia, które nie mogą być źródłem informacji podlegających wymianie to ubezpieczenia zdrowotne, ubezpieczenia medyczne oraz ochronne ubezpieczenia na życie.
Kto będzie musiał udostępnić dane, a kto je będzie mógł pozyskać?
FIDA będzie stosowane niemalże do wszystkich podmiotów działających na rynku finansowym. W sektorze ubezpieczeniowym są to zakłady ubezpieczeń i reasekuracji, instytucje pracowniczych programów emerytalnych oraz pośredników ubezpieczeniowych, w tym także oferujących ubezpieczenia uzupełniające. Oprócz ubezpieczycieli danymi będą musiały też się dzielić m.in. instytucje kredytowe, płatnicze, firmy inwestycyjne, a nawet dostawcy usług związanych z kryptoaktywami.
Posiadacze danych
Co ważne instytucje finansowe będą występować w podwójnej roli – jako posiadacze danych (data holder) oraz użytkownicy danych (data user). Działając w roli posiadacza danych, na wniosek klienta będą musiały udostępnić mu wnioskowane dane bądź też przekazać je bezpośrednio do posiadacza danych. Będą musiały zrobić to bez zbędnej zwłoki i w czasie rzeczywistym. Rozporządzenie nakłada również obowiązek tworzenia dla klientów narządzi do zarządzania swoimi danymi – tworzenia „pulpitów nawigacyjnych”. Warto podkreślić, że instytucje finansowe będą mogły pobierać wynagrodzenie tylko, gdy klient poprosi o przekazanie danych do nowego użytkownika danych, i to pod pewnymi warunkami.
Z kolei jako posiadacze danych instytucje finansowe będą pozyskiwać informacje związane z posiadanymi przez klientów produktami finansowymi. Co ważne, do udostępniania danych będą zobowiązane wszystkie podmioty wymienione w FIDA. Otrzymywać dane będą mogły jednak tylko podmioty nadzorowane, które uzyskały odpowiednie zezwolenia na prowadzenie działalności.
Rozporządzenie nie zawiera szczegółowych przepisów dotyczących międzysektorowej wymiany danych czy przepisów dotyczących dostępu do danych przez firmy Big Tech.
Równe zasady dla debiutantów
FIDA wprowadza nową kategorię podmiotów mogących uczestniczyć w wymianie danych finansowych – dostawcę usługi informacji finansowej (financial information service provider). Dostawcy informacji finansowej mogą być tylko użytkownikami danych, czyli wyłącznie je pozyskiwać, bez konieczności udostępniania. Będą jednak musieli uzyskać zezwolenie na prowadzenie działalności i wykazać się wysokim poziomem cyfrowej odporności zgodnie z wymogami Rozporządzenia DORA, w szczególności w odniesieniu do bezpieczeństwa technicznego i ochrony danych osobowych.
Przekazywanie danych tylko za zgodą klienta
Dane finansowe będą przekazywane tylko i wyłącznie pod określonymi warunkami. FIDA daje klientom kontrolę na tym, w jaki sposób i przez kogo ich dane finansowe będą wykorzystane. Klienci udzielą firmom zgody na dostęp do swoich danych finansowych w celu uzyskania nowych usług finansowych i informacyjnych. Co istotne, żądanie takie będzie mógł też w imieniu klienta złożyć sam użytkownik danych, czyli zakład ubezpieczeń albo inna instytucja – jednak tylko w przypadku, gdy ma ważną podstawę prawną zgodną z RODO.
Udzielone zgody mogą być wycofane przez klienta w każdym czasie. Aby zapewnić klientowi możliwość wycofania zgód, posiadacze danych muszą przygotować dla nich odpowiednie narzędzie, czyli panel uprawnień dostępu do danych finansowych (permission dashbord) do monitorowania i zarządzania udzielonymi zgodami. To oznacza, że zakłady ubezpieczeń i tak muszą przygotować się technicznie, by udostępnić klientowi jego dane osobowe oraz finansowe i opracować wspólne standardy, interfejsy techniczne oraz schematy dotyczące udostępniania danych klientów i to w obszarze wszystkich państw unijnych. Wprowadzenie obowiązku udostępniania danych zgodnie z nowymi wymogami FIDA może zwiększyć koszty produktów ubezpieczeniowych, ponieważ każdy produkt będzie musiał mieć zaprojektowany i wdrożony mechanizm wymiany danych (serwowania i pobierania danych) oraz nowe procesy, np. przeniesienia produktu ubezpieczeniowego pomiędzy towarzystwami w trakcie jego trwania.
Na marginesie warto podnieść potencjalne ryzyko dyskryminacji konsumentów, którzy nie zdecydują się udostępniać swoich danych lub nie korzystają z osiągnięć digitalizacji.
Sposób przekazywania danych
FIDA zobowiązuje kraje członkowskie do zbudowania „systemów udostępniania danych finansowych” (financial data sharing schemes), czyli baz, do których instytucje finansowe zarówno jako posiadacze, jak i użytkownicy danych będą musiały należeć, jeżeli będą chciały wymieniać się danymi finansowymi. Systemy te będą mogą wdrożyć same zakłady, banki lub wyspecjalizowane firmy IT. By taki system powstał, opracowane zostaną tzw. RTS, czyli regulacyjne standardy techniczne, które szczegółowo uregulują zasady udostępniania danych, API, modele interfejsów, zakresy danych osobowych i finansowych, standard umowy przystąpienia do systemu, zarządzanie takimi systemami, zasady rekompensaty, odpowiedzialność uczestników systemu i przepisy dotyczące rozstrzygania sporów. Każdy system będzie musiał być zgłoszony właściwym organom. Na poziomie unijnym to Europejski Urząd Nadzoru Bankowego będzie prowadzić publiczny rejestr takich systemów.
Wątpliwości dotyczące wymiany danych klientów z różnych krajów
Specyfika sektora ubezpieczeń prowadzi do ograniczenia standaryzacji i porównywalności produktów ubezpieczeniowych w poszczególnych krajach. To kolejny istotny problem, na który należy zwrócić uwagę. Większość produktów ubezpieczeniowych nie jest porównywalna między państwami członkowskimi ze względu na różnice w jurysdykcji, strukturze zbiorów danych referencyjnych czy strukturze usług socjalnych, ale też różnice w systemach podatkowych, preferencjach klientów, praktykach rynkowych itp. Rozwiązania ubezpieczeniowe były przez dziesięciolecia dostosowywane do potrzeb lokalnego rynku, a zatem harmonizacja poprzez obowiązkowe upublicznienie „dashboardów danych” służące porównywaniu produktów może mieć bardzo ograniczoną skuteczność. Co więcej, istnieje ryzyko nadmiernej standaryzacji produktów w skali całego rynku europejskiego, prowadzącej do ujednolicenia produktów i do osłabienia konkurencji i utrudnienia innowacji.
Czy to wszystko za darmo?
Posiadacze danych będą mieć możliwość żądania od użytkowników danych rozsądnej rekompensaty za wprowadzenie API do systemu udostępniania informacji. Ma to zapewnić sprawiedliwy podział kosztów związanych z transmisją danych. Jeśli mówimy o kosztach, to warto też zaznaczyć, że rozporządzenie FIDA nakłada na sektor finansowy kolejne obowiązki sprawozdawcze i nadzorcze oraz dotkliwe kary za ewentualne uchybienia w ich realizacji oraz kary za niewłaściwe administrowanie danymi finansowymi.
Rozporządzenie FIDA przejdzie przez unijny proces legislacyjny. Obejmie to zarówno proces konsultacji publicznych, jak i trylogi – negocjacje trójstronne między Komisją Europejską, Parlamentem Europejskim i Radą Europejską. Nie może tu zabraknąć głosu rynku, zwłaszcza że warto podkreślać specyfikę naszej branży.
Cały wpis dostępny jest na blogu PIU.
(AM, źródło: PIU)
