Privacy be design a privacy by default

Ochrona danych w fazie projektowania, czyli privacy by design, polega na tym, że administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą (zob. art. 25 ust. 1 RODO). Innymi słowy, administrator planując i wdrażając określony proces dba o odpowiedni poziom zabezpieczenia danych osobowych już od samego początku każdego procesu oraz w czasie, gdy został on już wdrożony.

Natomiast privacy by default oznacza, że administrator ma zapewnić, aby istniał domyślny standard ochrony danych osobowych. Domyślnie przetwarzane miałyby być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. W szczególności środki te zapewniają, żeby domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych[2]. Domyślna ochrona danych ma działać w trakcie przetwarzania i skutecznie chronić dane osobowe, pomagając przestrzegać administratorowi obowiązki określone w art. 25. RODO.   

Ochrona danych w fazie projektowania – o co tak naprawdę chodzi?

Aby ochrona była skuteczna wszelkie środki i zabezpieczenia należy skonstruować i przygotować jeszcze przed podjęciem procesu przetwarzania. Co to oznacza? Jeżeli planujesz wdrożyć nowe rozwiązanie informatyczne albo masz pomysł na całkiem nowy program informatyczny lub zmiany w już istniejącym to zanim przystąpisz do jego realizacji najpierw zastanów się czy i jak będzie się on wiązał z przetwarzaniem danych osobowych. Następnie tak zaplanuj i zorganizuj swoje działania, aby we właściwy sposób zabezpieczyć to przetwarzanie. Organizacja działań powinna dać możliwość utworzenia solidnych zabezpieczeń, a także analizę potencjalnych zagrożeń oraz zmian, które umożliwiłyby wdrożenie dodatkowych środków w celu zminimalizowania ryzyka.

Co należy wziąć pod uwagę przy planowaniu odpowiednich zabezpieczeń?

W art. 25 ust. 1 RODO zostały wymienione elementy, które administrator musi uwzględnić przy określaniu środków dotyczących konkretnej operacji przetwarzania. Wszystkie te elementy pomagają ustalić czy wybrany środek będzie odpowiedni dla  skutecznego wdrożenia zasad. Z tego względu każdy z tych elementów nie stanowi celu samego w sobie, ale jest jednym z czynników, które należy uwzględnić łącznie, aby osiągnąć cel[3]. Spróbujemy zatem przyjrzeć się im bliżej. Będą to:

– stan wiedzy technicznej;

– koszt wdrażania;

– charakter, zakres, kontekst i cele przetwarzania;

– ryzyko naruszenia praw i wolności osób fizycznych.

Typowo, powyższe czynniki, będą przedmiotem analizy ryzyka, która pozwoli ustalić, które środki techniczne i organizacyjne faktycznie powinny zostać wdrożone.

Stan wiedzy technicznej, czyli musisz trzymać rękę na pulsie

Przepis art. 25 RODO nakłada obowiązek na administratorów, aby śledzili oni postęp w zakresie technologii, jakie znajdują się na rynku. Powinni śledzić zmiany i dostosowywać zaprojektowaną już ochronę, aktualizować zabezpieczenia i dokonywać ponownej analizy ryzyka. Jak zauważa EROD, pojęcie „stanu wiedzy technicznej” jest pojęciem dynamicznym, więc przygotowanie zabezpieczeń przez administratora nie może mieć charakteru jednorazowego w określonym czasie, ale poprzez śledzenie zmian powinien on stale dostosowywać zastosowane środki technologiczne. Mówiąc wprost – brak śledzenia zmian może skutkować brakiem zgodności z art. 25 RODO. Ponadto warto zauważyć, że termin ten nie wiąże się jedynie ze środkami technologicznymi, ale również może znaleźć zastosowanie w środkach organizacyjnych, jak np. organizacji szkoleń w zakresie technologii, bezpieczeństwa i ochrony dla pracowników zaangażowanych w ochronę danych osobowych.

Przykład:

Software House zaprojektowało aplikację, w której wykorzystywana jest technologia oparta o szyfrowanie. Po pewnym czasie okazało się, że zastosowane szyfrowanie stało się przestarzałe i jest łatwe do obejścia. W tej sytuacji SH ponownie przeprowadza analizę ryzyka i wdraża nowy rodzaj szyfrowania, oparty o najnowszy stan wiedzy technicznej.

Koszty wdrożenia proponowanych rozwiązań

Wymieniona w art. 25 przesłanka kosztów wdrażania nie zmusza administratora do wydatkowania nieproporcjonalnie dużych zasobów, o ile tylko istnieją jakiekolwiek inne, bardziej ekonomiczne, które zapewnią równie skuteczne środki. Jednak wybrane środki muszą zapewniać, aby czynność przetwarzania danych przewidziana przez administratora nie odbyła się z naruszeniem zasad, niezależnie od kosztów[4]. Powinien on zarządzać kosztami w taki sposób, żeby skutecznie dobrać środki zapobiegające utraty ochrony danych osobowych.

Charakter, zakres, kontekst i cele przetwarzania

     Podczas projektowania ochrony danych administrator powinien brać pod uwagę charakter, zakres, kontekst i cele przetwarzania danych. Wiążą się one nie tylko z art. 25 RODO, ale również art. 24 – obowiązkami administratora, art. 32 – bezpieczeństwem przetwarzania oraz art. 35 – przeprowadzeniem kwalifikowanej analizy ryzyka, czyli oceny skutków dla ochrony danych. Ww. czynniki to cechy, które wiążą się z danym przetwarzaniem danych osobowych. Charakter przetwarzania oznacza jego cechy, takie jak np. ciągłość, powtarzalność, albo przeciwnie – incydentalność. Zakres oznacza wielkość i zasięg przetwarzania danych, natomiast kontekst to dodatkowe okoliczności, które mogą mieć wpływ na ocenę danej operacji przetwarzania. Cele przetwarzania danych również powinny mieć wpływa na to, w jaki sposób będziemy projektować ochronę tych danych.

Przykład

Inaczej będziemy projektować zasady ochrony danych osobowych w przypadku aplikacji służącej do przetwarzania badań diagnostycznych pacjentów, gdzie pacjent będzie mógł mieć dostęp do wszystkich swoich aktualnych i archiwalnych wyników badań, a inaczej w przypadku tworzenia aplikacji zwykłego sklepu internetowego, gdzie sprzedawana jest przykładowo odzież. W pierwszym przypadku mamy do czynienia z przetwarzaniem w sposób ciągły (charakter przetwarzania) danych osobowych wrażliwych – dotyczących zdrowia (kontekst przetwarzania), w szerokim zakresie (potencjalnie wszystkie badania diagnostyczne pacjenta) w celu zapewnienia pacjentowi dostępu do wyników (cel przetwarzania). Natomiast w przypadku przetwarzania danych w sklepie internetowym celem przetwarzania będzie umożliwienie zakupów, dane będą przetwarzane w zakresie wąskim i będą miały zwykły charakter. W związku z powyższym nie ulega wątpliwości, że administrator, który projektuje i wdraża aplikację zawierającą wyniki badań będzie zobowiązany do zaplanowania i wdrożenia wyższego poziomu zabezpieczeń niż administrator, który zakłada sklep internetowy.

Analiza ryzyka to podstawa

Pomimo że administratorzy korzystają z powyższych narzędzi, to muszą oni za każdym razem przeprowadzać indywidualną analizę ryzyka w zakresie ochrony danych w odniesieniu do każdorazowej operacji przetwarzania, a ocena ta powinna podlegać okresowym aktualizacjom. Powinno się również zwracać szczególną uwagę na zagrożenie związane z brakiem dobrowolnej zgody związanej z przetwarzaniem danych osobowych dzieci i młodzieży poniżej 18. roku życia. Bardzo istotne jest, aby wdrażać odpowiednie środki w celu ograniczenia i skutecznego zminimalizowania określonych zagrożeń związanych z grupą osób, których dane dotyczą.

Przy ochronie danych osobowych kluczowe są działania zapobiegawcze oraz aspekt czasu, w którym dochodzi do reakcji administratora. Zdaniem EROD w interesie administratora leży jak najszybsze wdrożenie zasad privacy by design oraz privacy by default, albowiem późniejsze ich wdrożenie, w ramach gotowego już procesu, może być znacznie droższe.

Domyślna ochrona danych

Termin „domyślnej” ochrony danych będzie tu odnosić się do podejmowanych decyzji dotyczących wartości konfigurujących lub opcji przetwarzania, które są zapisane w systemie przetwarzania (np. aplikacja, usługa, urządzenie) mających wpływ na ilość zgromadzonych danych, zakres, w jakim są przetwarzane, okres ich przechowywania oraz ich dostępność. Kluczowa w wyborze przez administratora odpowiednich środków będzie ocena konieczności (niezbędności), która powiązana jest z art. 6 ust.1 RODO, gdzie opisane są prawne podstawy przetwarzania. Wiąże się to, mówiąc krótko, z tym, że administrator nie będzie gromadził większej ilości danych, niż jest to niezbędne, ani też przechowywał ich dłużej niż jest to niezbędne.

Wymiary obowiązku privacy by default

Warto opisać tu wymiary obowiązku wdrożenia privacy by default opisane w art. 25 ust. 2 RODO. Administrator powinien określić i porównać ryzyko; większe ryzyko wiąże się z sytuacją, gdy gromadzone są duże ilości szczegółowych danych, podczas gdy ryzyko będzie mniejsze podczas gromadzenia mniejszych ilości danych lub mniej szczegółowych danych. Jeżeli tylko w wystarczającym stopniu dla celu przetwarzania mniej szczegółowe dane osobowe są wystarczające, to należy dokonać minimalizacji ilości zbieranych danych. To samo będzie dotyczyć zakresu ich przetwarzania – powinno uważać się, aby nie przetwarzać danych w celach innych niż pierwotnie zakładane (art. 6 ust. 4 RODO) i nie wykroczyć poza zakres przetwarzania, który jest zgodny z uzasadnionymi oczekiwaniami osób, których dane dotyczą.

Taka zasada będzie dotyczyć także okresu przechowywania danych. Każdorazowe przetwarzanie danych przez dłuższy okres powinno zostać obiektywnie uzasadnione przez administratora zgodnie z zasadą rozliczalności. W wypadku, gdy uzna się, że dane osobowe nie są już  potrzebne w procesie przetwarzania należy je usunąć lub poddać procesowi anonimizowania. Długość czasu, w jakim dane są przetwarzane, zgodnie z zasadą ograniczenia przetwarzania (art. 5 ust. 1 lit. e), będzie zależeć od celu przetwarzania. Proces usuwania niepotrzebnych już danych osobowych powinien zostać, w ramach domyślnej ochrony, zautomatyzowany.

Przykład

Administrator danych osobowych stosuje program, gdzie archiwizuje wszystkie umowy, które wiążą go z kontrahentami. W ramach programu administrator posiada część archiwalną, gdzie ustawia okresy, po jakich dane klienta są automatycznie usuwane z systemu.

Minimalizacji podlega wreszcie udostępnianie danych – ich treść oraz liczba osób, którym są udostępniane dane osobowe. Administrator domyślnie ogranicza dostępność danych, a także zapewnia osobie, której dane dotyczą, możliwość interwencji przed ich opublikowaniem lub udostępnieniem. Wydaje się to bardzo istotne w kontekście internetu, gdzie łatwo mogłoby to skutkować o wiele szerszemu udostępnianiu danych niż pierwotnie było to zamierzone. Wreszcie konieczne jest podkreślenie, że nawet jeśli dane osobowe będą udostępniane za zgodą i wiedzą osoby, której dane dotyczą, nie będzie to oznaczać, iż każdy inny administrator posiadający dostęp do tych danych mógłby je swobodnie przetwarzać do własnych celów. Musiałby wtedy dysponować odrębną podstawą prawną[5].

Wdrażanie zasad ochrony w praktyce firmy IT

W całym procesie ochrony danych osobowych bardzo istotnym elementem, który umożliwia realizację tej ochrony w fazie projektowania oraz domyślnej ochrony danych, będzie wdrożenie zasad, jakie zostały wymienione w art. 5 oraz motywie 39 RODO. Będą to: przejrzystość, zgodność z prawem, rzetelność, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność oraz rozliczalność. Choć wydaje się, że te rozważania są teoretyczne to zasady te będą miały bardzo duże znaczenie praktyczne w przypadku wdrażania zmian w istniejących systemach informatycznych albo projektowaniu nowych systemów, aplikacji lub programów.

Przejrzystość oraz zgodność z prawem

Administrator, który projektuje politykę prywatności na swojej stronie internetowej w celu spełnienia wymogów przejrzystości, musi zawrzeć w niej informacje sformułowane w jasnym i zwięzłym języku, aby osoby, których dane dotyczą nie miały problemu ze zrozumieniem (przede wszystkim, kiedy są to dzieci lub członkowie innych grup szczególnie uprzywilejowanych). Muszą być one łatwo dostępne i nie nazbyt dużej ilości, żeby najważniejsze punkty były łatwe do znalezienia. W związku z tym administrator dostarcza informacji w sposób wielowarstwowy – szczegółowe, podstawowe dane są łatwo dostępne, a rozwijane menu, linki do innych stron służą dalszemu wyjaśnieniu. Muszą być przekazywane w odpowiednim kontekście (odpowiednim czasie oraz formie) i w stosowny sposób (mają zastosowanie do osób, których dane dotyczą).

Przykład

Dostawca oprogramowania udostępnia na swojej stronie politykę prywatności i cookies. Polityki są łatwo dostępne, napisane są przejrzystym językiem.

Niezbędne jest, aby została określona podstawa prawna przetwarzania danych osobowych. Kluczowe elementy w fazie projektowania i domyślnej ochrony danych mogą obejmować:

–  stosowność (podstawy prawne mają stosowne zastosowanie);

– zróżnicowanie podstaw prawnych co do każdej czynności przetwarzania;

– konkretny cel (właściwa podstawa musi być powiązana z konkretnym celem);

– konieczność, to znaczy przetwarzanie musi być niezbędne i bezwarunkowe, żeby jego cel był zgodny z prawem.

Innymi ważnymi elementami są: autonomia przyznana osobie, której dane dotyczą w odniesieniu do kontroli nad tymi danymi, uzyskanie zgody, a także możliwość wycofania zgody, która powinna być równie prosta, jak jej udzielenie. Bardzo ważne jest przeprowadzenie przez administratora testu równowagi interesów, kiedy podstawą prawną są prawnie uzasadnione interesy. Niezbędne jest, aby istniały środki i zabezpieczenia, jakie mają na celu złagodzenie negatywnego wpływu na osoby, których dane dotyczą. Ponadto podstawa prawna musi być ustalona przed rozpoczęciem jakiegokolwiek przetwarzania danych, a w wypadku, gdy przestaną one mieć zastosowanie, należy odpowiednio przerwać przetwarzanie. Jeśli występuje współadministrowanie, to strony muszą wyraźnie rozdzielić swoje obowiązki w stosunku do osoby, której dane dotyczą[6].

Rzetelność

Rzetelność stanowi nadrzędną zasadę, która wymaga, aby dane osobowe nie zostały przetwarzane w sposób, który byłby bezzasadnie szkodliwy, nieoczekiwany, dyskryminujący lub też wprowadzający w błąd względem osoby, której dane dotyczą. Środki i zabezpieczenia, jakie są podstawą realizowania zasady rzetelności, wspierają także prawa i wolności osób, których dane dotyczą, a w szczególności prawo do informacji (przejrzystości), do interwencji (dostępu, usuwania, przenoszenia, prostowania danych), oraz prawo do ograniczenia przetwarzania. Osobom tym przyznaje się najwyższy zakres autonomii, żeby mogły swobodnie decydować o sposobie wykorzystania ich danych. Przykład:

Administrator nie może stosować algorytmów, które mogłyby prowadzić do dyskryminacji użytkowników danego systemu lub oprogramowania.

Ograniczenie celu oraz minimalizacja danych

Obydwie zasady są ściśle powiązane z wykorzystaniem jedynie niezbędnych danych, które zapewnią osiągnięcie celu. Są jednak dwoma przeciwnymi końcami tego samego procesu – środkami prowadzącymi do celu oraz samym celem. Administrator jest zatem zobowiązany do zebrania danych w konkretnych, wyraźnych i prawnie uzasadnionych celach. W wypadku dalszego przetwarzania należy upewnić się czy cele tego przetwarzania będą zgodne z celami pierwotnymi – administrator powinien zastosować środki techniczne (haszowanie i szyfrowanie) w celu ograniczenia ponownego wykorzystania danych osobowych. Pomocne będą również środki organizacyjne, jak np. strategie i zobowiązania umowne.  

W wypadku zasady minimalizacji danych kluczowe będzie na początek ustalenie przez administratora czy w ogóle dane osobowe muszą być przetwarzane do osiągnięcia odpowiednich celów. Ewentualnie powinien sprawdzić, na ile może przetwarzać mniej danych osobowych lub posiadać mniej szczegółowe lub zagregowane dane. Musi on z góry określić, które cechy parametrów systemów przetwarzania oraz ich funkcje będą dopuszczalne. Powinny być przetwarzane jedynie adekwatne, stosowne, a także ograniczone do tego, co niezbędne do osiągnięcia celu dane osobowe.

Kwestia minimalizacji wiąże się również ze stopniem identyfikacji osoby, której dane dotyczą. W wypadku, gdy cel nie wymaga, żeby ostateczny zbiór danych odnosił się do zidentyfikowanej osoby fizycznej, administrator powinien usunąć lub poddać anonimizacji dane osobowe, gdy identyfikacja nie będzie już konieczna. Natomiast, gdy dalsza identyfikacja będzie konieczna w odniesieniu do innych czynności przetwarzania, dane należy spseudonimizować. W ten sposób zminimalizuje się ryzyko naruszenia praw osób. Podobnie minimalizacji będzie podlegać liczba kopii, czyli nie wytwarzania ich, o ile nie wymaga tego skuteczność przepływu danych. W osiągnięciu tych obowiązku ma pomagać administratorowi aktualny stan wiedzy technicznej, której rozwój powinien on aktywnie śledzić.

Przykład:

Fiński organ nadzorczy wydał decyzję, zgodnie z którą pracodawca, zbierający na potrzeby rekrutacji m.in. takie dane jak dane dot. wyznania kandydata, stanu zdrowia, możliwej ciąży oraz dane dot. członków rodziny, stanowiło naruszenie zasady minimalizacji danych osobowych i nie było niezbędne z punktu widzenia celu przetwarzania danych osobowych[7].

Prawidłowość oraz ograniczenie przechowywania

Przetwarzane dane osobowe powinny pochodzić z wiarygodnych źródeł, a administrator musi usuwać lub też sprostować wszystkie błędne dane bez zbędnej zwłoki. Powinien on dokonać weryfikacji danych przed rozpoczęciem procesu przetwarzania, jak również na różnych jego etapach. W wypadku zautomatyzowanych decyzji opartych na sztucznej inteligencji, administrator musi ograniczyć w miarę możliwości skutki powielanych błędów oraz zmniejszyć liczby fałszywych wyników dodatnich/ujemnych. Natomiast osoby, których dane dotyczą powinny otrzymywać informacje na temat danych osobowych i otrzymać skuteczny dostęp do nich, by mieć możliwość kontroli poprawności czy też sprostowania (zgodnie z art. 12-15 RODO). W tym kontekście administrator powinien także zadbać o odpowiednie okresy retencji.

Integralność i poufność

Zasada integralności i poufności wydaje się kluczowa w ochronie danych osobowych, a w szczególności w przypadku wdrażania zmian w systemach informatycznych. Dotyczy ochrony przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem, przed przypadkową utratą, zniszczeniem albo uszkodzeniem. Służą temu odpowiednie środki techniczne i organizacyjne, które administrator powinien wykorzystywać w tworzeniu doskonalszych zabezpieczeń[8]. W gestii administratora leży przeprowadzanie regularnych przeglądów i zarządzania reagowaniem na incydenty naruszające bezpieczeństwo. Powinien on tez dysponować odpowiednimi procesami, które umożliwiałyby reagowanie na naruszenia i incydenty, aby system przetwarzania był bardziej niezawodny, a zatem w obowiązku administratora jest doskonalenie go. Ochrona powinna być zależna od stopnia obarczenia ryzykiem – im dane bardziej podatne na ryzyko, tym powinny być lepiej chronione, oddzielone od reszty danych osobowych.

Administrator powinien również stosownie zarządzać kontrolą dostępu. Do zadań powiązanych z przetwarzaniem muszą być wyznaczeni jedynie upoważnieni pracownicy, a żaden z nich nie posiadał pełnego dostępu do danych na temat osoby, której dane dotyczą. Należy też, w miarę możliwości zminimalizować liczbę osób zaangażowanych w ochronę. Wreszcie dane osobowe oraz kopie mają być pseudonomizowane w ramach środków bezpieczeństwa.

Przykład:

W 2020 r. doszło do sytuacji, w której pewna spółka działając w branży energetycznej zgłosiła swojemu dostawcy oprogramowania, że działa ono zbyt wolno.  W związku z tym dostawca ten dokonał zmiany systemu w celu poprawy jego wydajności i szybkości działania. Zmiana polegała na stworzeniu i instalacji nowej bazy klientów administratora. Niestety, baza ta została skopiowana przez nieuprawnione podmioty. W bazie nie było danych „wrażliwych”, ale były tam takie dane jak PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy zawartej z administratorem.

Podmiot przetwarzający (dostawca oprogramowania) wskazał, iż na etapie, w którym doszło do wycieku danych osobowych, nie zostały jeszcze wdrożone zabezpieczenia systemu. Etap wdrożenia produkcyjnego i zakończenie wdrażania zabezpieczeń był planowany właśnie w kwietniu 2020 r. W czasie, w którym doszło do wycieku, trwał proces testów, a także zasilanie bazy danymi.

W opisywanej sprawie PUODO wydał decyzję[9], w której wskazał szereg błędów, jakie zostały popełnione przez dostawcę oprogramowania w opisywanym przypadku. Przede wszystkim podmiot przetwarzający już na etapie testowania bazy wprowadził prawdziwe dane osobowe, nie zapewniając w tym zakresie poufności. Skoro jednak takie dane zostały wprowadzone to należało zastosować taki poziom zabezpieczeń jak w systemach produkcyjnych. PUODO wskazał także, że dostawca oprogramowania powinien wdrożyć realnie działające polityki i procedury, które opisywałyby w jaki sposób prawidłowo wdrażać zmiany w systemie informatycznym, określające:

 – sposób dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych;

–  konieczność utworzenia środowiska testowego;

– odpowiedniego zabezpieczenia rzeczywistych danych klientów administratora, w przypadku ich wykorzystania do testowania wprowadzanych zmian;

–  zasad kontroli poprawności realizacji poszczególnych etapów projektu;

– zdefiniowanie wymaganych zabezpieczeń.

Rozliczalność

To administrator jest odpowiedzialny za przestrzeganie wszystkich tych zasad i powinien umieć wykazać ich przestrzeganie, o czym stanowi zasada rozliczalności. Ewentualne sankcje pieniężne określają organy nadzorcze, a ochrona danych w fazie projektowania, a także domyślna ochrona danych są również czynnikiem, który określa wysokość kar za naruszenie przepisów RODO[10].

Podsumowanie

Zastosowanie zasad privacy by design i privacy by default  ma charakter wielowątkowy, jednak nie jest skomplikowane. Każdy podmiot, który przetwarza dane osobowe powinien w każdym momencie prowadzonych przez siebie działań mieć na uwadze ochronę danych osobowych oraz wdrożyć takie rozwiązania, które zapewnią, że ta ochrona będzie faktycznie stosowana. Zasady te mają bardzo duże znaczenie w przypadku tworzenia nowych środowisk informatycznych, a także wprowadzania zmian w już istniejących. Dostawca usług informatycznych powinien w związku z tym wdrożyć odpowiednie procedury i polityki, określające sposób postępowania zarówno w nowych projektach, jak i w przypadku wprowadzania zmian w już istniejących systemach. Ważnym elementem będzie tutaj także analiza ryzyka, w wyniku której możliwe będzie określenie, jakie zabezpieczenia powinny być wdrożone. Pamiętajmy, że brak stosowania ww. zasad w praktyce może prowadzić do poważnych konsekwencji, takich jak wyciek danych osobowych, co może się wiązać z konsekwencjami dla przedsiębiorcy. 

[1] Wytyczne nr 4/2019 dotyczące artykułu 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych, dostęp online: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_pl.pdf

[2] Porównaj art. 25 RODO.

[3] Wytyczne EROD, https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_pl.pdf.

[4] Wytyczne EROD, 2.1.3.2 „koszt wdrażania”, tamże.

[5] Wytyczne EROD, 2.2.2 Wymiary obowiązku minimalizacji danych, tamże.

[6] Porównaj: Wytyczne EROD 3.1-3.2, tamże.

[7] Decyzja Tietosuojavaltuutetun toimisto – 137/161/20, skrócona wersja dostępna tutaj: https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_-_137/161/20

[8] Porównaj: Motyw 78 RODO.

[9] Decyzja z dnia 19 stycznia 2022 r., DKN.5130.2215.2020, dostęp online: https://uodo.gov.pl/decyzje/DKN.5130.2215.2020

[10] Porównaj art. 83 ust.4 RODO.

Artykuł Jak prawidłowo wdrażać zmiany w systemach informatycznych, czyli privacy by design and privacy by default pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Nadchodzi przyszłość

Elementy sztucznej inteligencji uczestniczą w naszym życiu codziennym od dłuższego czasu. Wystarczy wspomnieć uczące się naszych zachowań algorytmy, które podpowiadają nam odpowiednie produkty podczas zakupów online, systemy wspomagające parkowanie czy ostrzegające przed niebezpieczeństwem w samochodach, wyszukiwarki internetowe uczące się na podstawie dostarczanych danych przez użytkowników internetu. Ostatnimi czasy bardzo głośno zrobiło się o przedstawicielach generatywnej sztucznej inteligencji – czyli pozwalającej „na wygenerowanie treści łudząco podobnych do tych stworzonych przez człowieka. Programy tego typu potrafią już naśladować obrazy, fotografie (np. Midjourney), artykuły, instrukcje, poematy, linie kodu programistycznego, głos konkretnych osób (Prime Voice AI od Eleven.AI), a nawet materiały wideo (Synthesia, Gen-1)”[2]. Najpopularniejszymi jednak przedstawicielami są ChatGPT oraz DALL-e, od OpenAI, które zdążyły już wzbudzić, poza olbrzymim zainteresowanie, także spore kontrowersje. W całych Włoszech czy we francuskim mieście Montpellier zostały na ten moment całkowicie zakazane. Ostatecznie tematem zajęła się już Europejska Rada Ochrony Danych (EROD), a to wszystko w kontekście wątpliwości wokół niespełnienia warunków związanych z RODO. 

Czym jest ChatGPT?

ChatGPT został zaoferowany w wersji darmowej (istnieje również wersja premium, co będzie istotne w kontekście użycia go przez firmy) podbił dość szybko serca użytkowników internetu na całym świecie. Dla ChatGPT nie istnieją granice, gdyż komunikuje się z nami w każdym języku, również polskim. To model językowy oparty na sztucznej inteligencji, który komunikuje się z użytkownikiem w formie dialogu, odpowiadając na jego pytania. Obecna wersja (zapowiadana już kolejna – jeszcze bardziej rozwinięta) została „dokształcona” w formie uczenia maszynowego, czyli poprzez „nakarmienie” czatbota zbiorami tekstów, choć proces ten nieustannie trwa w trakcie samej komunikacji z użytkownikiem. Mówiąc wprost – im więcej ChatGPT otrzymuje danych, także tych wprowadzanych przez zadających pytania, tym bardziej poszerza swoją bazę wiedzy. Szybko zaczęto odkrywać jego wciąż rozwijające się możliwości, które mogą dać niewspółmierne korzyści zarówno mniejszym przedsiębiorcom czy też korporacjom. ChatGPT można wykorzystać przy tworzeniu rozmaitych tekstów, pisaniu programów komputerowych czy przy obsłudze klienta. Automatyzacja zadań, które dotąd leżały w zakresie kreatywnej działalności człowieka, może pomóc skrócić tydzień pracy, niewspółmiernie zwiększyć produktywność, nie mówiąc już o fakcie, że wykorzystanie systemów SI mogłoby ułatwić dostęp do pracy osobom starszym w podeszłym wieku czy z niepełnosprawnością[3].  

  „ChatGPT może oferować wiele możliwości w zakresie wsparcia działań marketingowych, takich jak zwiększenie zaangażowania klientów, poprawa obsługi klienta, automatyzacja procesów marketingowych, generowanie spersonalizowanych treści, badania rynku i opinii klientów, obsługa klienta na mediach społecznościowych, retencja klientów, personalizacja oferty oraz badanie opinii klientów. Kluczowe jest jednak odpowiednie dostosowanie ChatGPT do potrzeb firmy, uwzględnienie aspektów etycznych i związanych z prywatnością, oraz ciągłe monitorowanie i optymalizowanie jego działania, aby osiągnąć najlepsze rezultaty w ramach działań marketingowych”.

W powyższy sposób przedstawia się sam ChatGPT zapytany przez nas o jego możliwości użycia jako narzędzie marketingowe. Wymieniony szeroki wachlarz rozwiązań z pewnością działa na wyobraźnię niejednego przedsiębiorcy. Niewielkie koszty wersji premium, szybkość działania, płynność wypowiedzi w każdym języku oraz możliwości stworzenia długiego tekstu na dowolny temat –  na pierwszy rzut oka trudno wyobrazić sobie łatwiejsze usprawnienie działań w firmie.

Nieograniczony apetyt na dane

ChatGPT nie jest jednak narzędziem idealnym. Pierwszy argument przeciwko jego użyciu to omylność samego chatu – niejednokrotnie brakuje mu danych, więc uzupełnia je błędnymi faktami pozyskanymi z internetu. Czyli mówiąc po ludzku – zmyśla. Im jednak będzie dłużej używany, tym więcej zdobędzie danych, które wprowadzają do niego użytkownicy oraz twórcy w kolejnych jego wersjach, a także sami użytkownicy nauczą się z nim lepiej komunikować. Wydaje się tylko kwestią czasu, aż to nowatorskie narzędzie będzie mogło zastąpić przeglądarkę internetową, ściąga on przecież informacje z kilku źródeł (Samsung rozważa już zastąpienie Google Bingiem z Microsoftu, który wykorzystuje ChatGPT). Jednak na tę chwilę prawdziwym problemem wydaje się brak jasności w tym, co dzieje się z wprowadzanymi danymi do wytworu firmy OpenAI. Tu pojawia się właśnie temat RODO, gdyż to na tej podstawie Włosi zablokowali korzystanie w ich kraju z ChatGPT. Sprzeciwili się, aby amerykańska firma wykorzystywała dane osobowe włoskich obywateli do szkolenia ich narzędzia. Wprowadzony przez Włochy zakaz korzystania z chatu wiąże się z wątpliwościami przestrzegania RODO – zbierania informacji, wykorzystywania ich i sposobie ich przetwarzania.

RODO a ChatGPT

Zastrzeżenia, jakie powstały wokół narzędzia zaoferowanego przez OpenAI, można powiązać z kilkoma przepisami RODO. Artykuł 15 mówi o prawie dostępu do danych przysługującego osobie, której dane dotyczą, a także do uzyskania informacji m.in.  w jakim celu przetwarzane są dane (art. 15 ust.1 lit. a), o informacji o prawie wniesienia skargi do organu nadzorczego (art. 15 ust. 1 lit. f oraz art. 77), w miarę możliwości planowanym okresie przechowywania danych osobowych (ust. 1 lit. d), a także np. o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych (ust. 1 lit e). To ostatnie wiąże się też z art. 16, czyli prawem do sprostowania, a także z art. 17, czyli prawem do usunięcia danych („prawem do bycia zapomnianym”). Również godnie z RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu (art. 22).

W pierwszej kolejności wszelkie wątpliwości dotyczą wersji bezpłatnej ChatGPT, która jest zdecydowanie najbardziej popularna. Jak wszystkie bezpłatne programy, do końca taka darmowa nie jest, dlatego zaleca się wszystkim korzystającym ostrożność, co przekazujemy podmiotom, które nie są do tego jednak uprawnione. Wystarczy odwołać się do najpopularniejszego przykładu Google translatora, do którego np. wrzucamy mail od klienta w języku francuskim zawierający jakieś poufne dane. Innym programem, jaki można przywołać, jest VirusTotal. Można w nim bezpłatnie sprawdzić czy plik, który otrzymaliśmy jest zainfekowany wirusem. Wrzucając tam np. plik z umową od klienta, udostępniamy w ten sposób zawartość tego pliku programowi od firmy, która nie ma z naszą firmą żadnej umowy, w tym w zakresie poufności czy umowy powierzenia przetwarzania danych osobowych.  

Podobne kontrowersje dotyczą ChatGPT. Chat daje on możliwość wklejania tekstów, nagrań głosowych czy obrazów, czyli danych, które w wersji bezpłatnej udostępniamy botowi. W przyszłości mogą one zostać wykorzystane jako źródło nauki dla programu AI. Nie mamy też żadnych informacji o możliwości usunięcia takich wprowadzonych danych, a z pewnością usunięcia ich na żądanie. Firma zawiadująca chatem – OpenAI – ma siedzibę w Stanach Zjednoczonych, co w wypadku wersji bezpłatnej, wiąże się międzynarodowym transferem danych, jeśli takiego transferu danych dokona pracownik firmy. Niejasne wydaje się też do końca to, co dzieje się z danymi, które zostaną wprowadzone do programu.

Na tych przesłankach oparli się właśnie Włosi, zakazując używania ChatGPT do czasu reakcji firmy OpenAI i wprowadzenia przez nich odpowiednich zabezpieczeń. Kolejne kraje wyraziły również wątpliwości i sprawą zajęła się w końcu Europejska Rada Ochrony Danych (EROD). Specjalnie powołana grupa bada ewentualne braki zabezpieczeń oraz działania, jakie powinna podjąć amerykańska firma w celu doprowadzenia zgodności z prawem UE. Wygląda więc na to, że decyzja zostanie podjęta na poziomie całej Unii[4]. Polski organ – UODO – przyjrzał się również włoskiej decyzji, ale nie podjął na tę chwilę żadnych kolejnych działań.

OpenAI stara się reagować na błędy i niedociągnięcia. Z jednej strony stale aktualizuje regulamin. Wprowadzono zmiany dotyczące zakazu wykorzystywania bota do: działań naruszających prywatność ludzi, śledzenia lub monitorowania osoby bez jej zgody, rozpoznawania twarzy osób prywatnych, klasyfikacji osób na podstawie cech chronionych, wykorzystania danych biometrycznych do identyfikacji lub oceny, niezgodnego z prawem gromadzenia lub ujawniania danych osobowych lub danych edukacyjnych, finansowych lub innych chronionych[5]. Miało to związek z pojawiającymi się wcześniej dyskryminującymi treściami, na które reagował ChatGPT, np. przy procesach rekrutacyjnych. Firma OpenAI ogłosiła także program dla użytkowników, którzy mogą zgłaszać usterki w działaniu ChatGPT w zamian za wynagrodzenie finansowe[6].

Jak wykorzystać ChatGPT w firmie?

OpenaAI oferuje również odpłatne konto dla firm, które umożliwia, poprzez wersję API, zintegrowania ChatGPT z systemem, np. do obsługi klienta. Przedsiębiorcy zostaje  udostępniony formularz, po wypełnieniu którego otrzymuje się umowę o powierzeniu przetwarzania danych osobowych, opracowanej w oparciu o standardowe klauzule umowne. Daje to możliwość zgodnego z RODO międzynarodowego transferu danych. Oczywiście pozostaje powinność podmiotu przesyłającego dane polegająca na zbadaniu wykorzystywanych zabezpieczeń i rozważenie zastosowania dodatkowych środków uzupełniających (jak np. szyfrowanie). Takie rozwiązanie nie wydaje się jednak na ten moment możliwe w umowie z OpenAI.

Zawarcie umowy pomiędzy OpenAI a daną firmą teoretycznie zapewnia, że wprowadzane dane nie będą wykorzystane do uczenia maszynowego czatbota, a dane mają zostać skasowane po miesiącu. Rodzi to jednak pewne wątpliwości, choćby w wypadku wykorzystania ChatGPT do wspomnianej obsługi klienta – jeśli klient firmy zażąda przed upływem tego miesiąca (co gwarantuje mu RODO) usunięcia jego danych, to nie wiadomo czy będzie to faktycznie możliwe.    

Przykład: pracownik wprowadza do ChatGPT maile reklamacyjne od klienta, aby bot sformułował odpowiedzi, nie usuwa jednak uprzednio danych osobowych zawartych w przesłanych wiadomościach. Klient po upływie 2 tygodni żąda natychmiastowego usunięcia jego danych.

Oczywiście mamy do czynienia z nowatorskim urządzeniem, więc część z wyników działań w wymienionych przykładach trudno będzie zweryfikować. Sposób, w jaki może być wykorzystany ChatGPT, będzie w dużej mierze zależeć od samego użytkownika, np. właśnie pracownika firmy.

Potencjał ChatGPT, za pomocą którego można stworzyć, nie tyle poprawne, ale nawet całkiem atrakcyjne treści marketingowe, już wkrótce znajdzie z pewnością swoje zastosowanie w praktyce. Jedna z ważniejszych marek na polskim rynku e-commerce – Zalando – zamierza wprowadzić ChatGPT do swojego sklepu internetowego. Ma on służyć klientom jako doradca/asystent modowy[7].

Warto w tym wypadku wspomnieć o możliwości naruszenia praw autorskich, skoro czatbot nieustannie uczy się korzystając z różnych danych, a zatem też czyichś tworów, dostępnych w internecie. Byłoby to jednak niewątpliwie niełatwe do potwierdzenia.

Wątpliwości i zagrożenia

Wszelkie wątpliwości dotyczą faktu, że mamy do czynienia z narzędziem nowatorskim i w nieustannej fazie rozwoju. Tempo przemian technologicznym już w samym udoskonalaniu narzędzia przez firmę OpenAI jest widoczne gołym okiem. Obawa, że za szybkością przemian w sektorze SI człowiek nie nadąży z przygotowaniem systemów bezpieczeństwa, ma swoje odzwierciedlenie choćby w liście otwartym, pod którym podpisali się m.in. Elon Musk oraz Steve Wozniak (współtwórca Apple). Wnosi on prośbę o zaprzestanie prac nad SI powyżej obecnego stopnia rozwoju na okres pół roku[8]. Wydaje się to jednak bardziej gestem symbolicznym niż czymś, co przyniesie faktyczny skutek.

Poza wspomnianą wcześniej interwencją EROD, od około dwóch lat opracowywane jest rozporządzenie Akt o sztucznej inteligencji (Artificial Intelligence Act) przez Komisję Europejską[9]. Nie wiadomo jednak, kiedy miałoby wejść w życie. Opory, jakie budzi w UE pojawienie się ChatGPT, a zarazem strach przed utratą bezpieczeństwa, mają swoją drugą stronę w głosach sektora IT, który obawia się, że decyzja zablokowania nowej technologii spowoduje pozostawienie Europy w tyle za Ameryką i Chinami.

Pewne wątpliwości budzi zrzucanie odpowiedzialności, w pewnym sensie, na użytkownika przez firmę OpenaAI, co ma swoje odzwierciedlenie w Polityce prywatności[10]. Według polityki to użytkownik ma uważać, jakie treści „wrzuca” do czatbota. Zalecenie, aby unikał treści poufnych, rodzi pytanie, czy firma odpowiadająca za powstanie i rozwój narzędzia nie powinna ponosić również jakiejś odpowiedzialności za brak należytych zabezpieczeń? Przy kontach premium dla firm ta ochrona wydaje się lepiej zorganizowana – usuwanie danych po miesiącu oraz niewykorzystywanie ich do uczenia maszynowego – ale pomijając wszelkie niewiadome, które pozostawia nam, wciąż rozwijająca się technologia, z zagrożeniem, jak zwykle, przychodzi człowiek. W tzw. „darknecie” zauważono wzrost handlu kontami premium chatglt[11]. Stwarza to obawę, że dane osobowe, zapytania oraz dane procesów korporacyjnych, znajdujące się na koncie firmowym, trafią w niepowołane ręce.

ChatGPT wydaje się niewątpliwie narzędziem, które może okazać się przydatne w rozwoju i działalności firm. W obecnej fazie jego rozwoju należy jednak pamiętać o błędach, jakie popełnia wciąż ucząca się SI, ryzyku dla stosujących go przedsiębiorców, w tym ryzyku naruszenia danych czy ujawnienia tajemnic samego przedsiębiorstwa. Wprowadzenie go w firmie niewątpliwie powinno być poprzedzone wnikliwą analizą ryzyka oraz ewentualnie oceną skutków dla ochrony danych. Przedsiębiorca powinien w szczególności przeanalizować udostępnione przez OpenAI polityki i regulaminy, upewniając się, czy firma wprowadziła odpowiednie zabezpieczenia danych osobowych, w tym w zakresie międzynarodowego transferu danych osobowych. Pracodawca powinien także rozważyć, czy ewentualne wprowadzenie tego narzędzia do firmy nie powinno wiązać się z przeszkoleniem pracowników. Wykorzystanie ChatGPT może także oznaczać konieczność przyjęcia przez firmę dodatkowych regulaminów lub polityk, określających sposób jego wykorzystania przez przedsiębiorcę.

Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.

Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o tym, jak prawidłowo stosować pliki cookies tutaj.

[1] Sztuczna inteligencja: co to jest i jakie ma zastosowania? [dostęp:] https://www.europarl.europa.eu/news/pl/headlines/society/20200827STO85804/sztuczna-inteligencja-co-to-jest-i-jakie-ma-zastosowania.

[2] Zob. ChatGPT, czyli sztuczna inteligencja w twoim domu. Czas na regulacje [dostęp:] https://panoptykon.org/chatgpt-czyli-sztuczna-inteligencja-w-twoim-domu-czas-na-regulacje.

[3] Akt w sprawie sztucznej inteligencji wkracza do miejsc pracy [dostęp:] https://lewiatan.org/akt-w-sprawie-sztucznej-inteligencji-wkracza-do-miejsc-pracy/.

[4] EDPB resolves dispute on transfers by Meta and creates task force on Chat GPT  [dostęp:] https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_pl.

[5] Zob. https://openai.com/policies.

[6] M.Mazaniec OpenAI może mieć poważny problem. Za ChatGPT bierze się Unia Europejska  [dostęp:] https://forsal.pl/lifestyle/technologie/artykuly/8699299,openai-moze-miec-powazny-problem-za-chatgpt-bierze-sie-unia-europejska.html.

[7] Zalando wdraża ChatGPT. Zobacz, w jaki sposób platforma zakupowa wykorzysta sztuczną inteligencję, by zwiększyć sprzedaż [dostęp:] https://www.wiadomoscihandlowe.pl/artykul/zalando-wdraza-chatgpt-zobacz-w-jaki-sposob-platforma-zakupowa-wykorzysta-sztuczna-inteligencje.

[8] Michał Duszczyk „Nie zabijajcie ChatGPT”. Europa może zablokować superinteligentnego bota  [dostęp:]https://cyfrowa.rp.pl/globalne-interesy/art38266551-nie-zabijajcie-chatgpt-europa-moze-zablokowac-superinteligentnego-bota.

[9] Zob. https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52021PC0206

[10] https://openai.com/policies/privacy-policy.

[11] ChatGPT – rośnie handel skradzionymi kontami [dostęp:] https://wgospodarce.pl/informacje/126317-chatgpt-rosnie-handel-skradzionymi-kontami.

Artykuł Sztuczna inteligencja jako narzędzie marketingowe – o czym należy pamiętać, aby działać zgodnie z RODO? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Czym jest Mała Instytucja Płatnicza?

Mała Instytucja Płatnicza prowadzi działalność na mniejszą skalę niż Krajowa Instytucja Płatnicza, w związku z czym nie musi uzyskiwać na swoją działalność zezwolenia Komisji Nadzoru Finansowego. Jednocześnie jednak nie jest tak, że przedsiębiorcy w ramach MIP mają pełną swobodę, ponieważ do podjęcia działalności w tym charakterze niezbędne jest złożenie wniosku oraz  uzyskanie uprzedniego wpisu do rejestru, prowadzonego przez KNF. Taka działalność jest zatem w dalszym ciągu działalności regulowaną, pomimo mniejszych restrykcji.  

Zgodnie z art. 2 punkt 17b ustawy o usługach płatniczych za małą instytucję płatniczą uznaje się osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, wpisaną do rejestru dostawców i wydawców pieniądza elektronicznego, mającą prawo do prowadzenia wskazanych w ustawie usług płatniczych.

Piaskownica regulacyjna

KNF nazywa MIP „piaskownicą regulacyjną”, wskazując, że jest to rozwiązanie mające na celu zaznajomienie się ze specyfiką rynku regulowanego, sprawdzenie swoich pomysłów biznesowych, a dodatkowo pozwalające na przygotowanie wniosku w zakresie uzyskania licencji Krajowej Instytucji Płatniczej (jeżeli przedsiębiorca jest tym zainteresowany). MIP skierowane jest w szczególności do start-upów, fin-techów lub wszelkich innych firm debiutujących po raz pierwszy na rynku usług finansowych. Rzeczywiście, ostatnie 3 lata pokazują, że zainteresowanie uzyskaniem statusu MIP-u wzrasta, a samych MIP-ów przybywa.

Software house Małą Instytucją Płatniczą

Szczególne zainteresowanie uzyskaniem statusu MIP przejawiają firmy informatyczne, które pragną wejść na nowe rynki i świadczyć innowacyjne usługi. Software house może być oczywiście jedynie dostawcą usług technicznych, który zwolniony jest z uzyskiwania licencji lub zezwolenia, ale może również rozpocząć świadczenie usług płatniczych jako MIP. Należy jednak zwrócić uwagę, że MIP nie może świadczyć wszystkich usług płatniczych, ponieważ do niektórych z nich będzie wymagana licencja Krajowej Instytucji Płatniczej. Z tego względu przed podjęciem jakichkolwiek działań należy rozważyć, jaki charakter mają usługi, które planujemy.

Usługi płatnicze świadczone MIP

Zgodnie z art. 2 punkt 17b ustawy MIP może prowadzić działalność w zakresie którejkolwiek z usług płatniczych wskazanych w art. 3 ust. 1 ustawy,  z wyłączeniem usług inicjowania transakcji płatniczej oraz usługi dostępu do informacji o rachunku. A zatem MIP ma szerokie uprawnienia i może prowadzić działalność w zakresie wszystkich usług płatniczych z wyłączeniem usług tzw. otwartej bankowości.  MIP może zatem świadczyć usługi płatnicze, wskazane w art. 3 ust. 1 ustawy:

1) przyjmowanie wpłat gotówki i dokonywanie wypłat gotówki z rachunku płatniczego oraz wszelkie działania niezbędne do prowadzenia rachunku- przy czym w każdym czasie środki zgromadzone na wszystkich rachunkach jednego użytkownika nie mogą przekroczyć równowartości w złotych polskich kwoty 2000 euro;

2) wykonywanie transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy:

1. przez wykonywanie usług polecenia zapłaty, w tym jednorazowych poleceń zapłaty,
2. przy użyciu karty płatniczej lub podobnego instrumentu płatniczego,
3. przez wykonywanie usług polecenia przelewu, w tym stałych zleceń;

3) wykonywanie transakcji płatniczych wymienionych w pkt 2, w ciężar środków pieniężnych udostępnionych użytkownikowi z tytułu kredytu;

4) wydawanie instrumentów płatniczych;

5) umożliwianie akceptowania instrumentów płatniczych oraz wykonywania transakcji płatniczych, zainicjowanych instrumentem płatniczym płatnika przez akceptanta lub za jego pośrednictwem, polegających w szczególności na obsłudze autoryzacji, przesyłaniu do wydawcy instrumentu płatniczego lub systemów płatności zleceń płatniczych płatnika lub akceptanta, mających na celu przekazanie akceptantowi należnych mu środków, z wyłączeniem czynności polegających na rozliczaniu i rozrachunku tych transakcji w ramach systemu płatności w rozumieniu ustawy o ostateczności rozrachunku (acquiring);

6) świadczeniu usługi przekazu pieniężnego.

Co to oznacza w praktyce?

Jeżeli prowadzimy rachunek wirtualny dla klientów, zapewniamy dostęp do niego, umożliwiamy dokonywanie płatności za jego pośrednictwem, wydajemy karty lojalnościowe dla klientów (będące jednocześnie kartami płatniczymi)- musimy działać w ramach MIP lub na podstawie jednej z licencji przewidzianych w ustawie. Na marginesie należy wspomnieć, że ustawa o usługach płatniczych przewiduje szereg wyłączeń, kiedy przedsiębiorca nie będzie musiał wpisywać się do rejestru lub uzyskiwać licencji- to jednak materiał na osobny artykuł. 

Dodatkowo, należy zauważyć, że MIP w dalszym ciągu może prowadzić również inną działalność gospodarczą, a także świadczyć usługi ściśle powiązane z usługami płatniczymi, np. w zakresie wymiany walut. Należy również mieć na uwadze, że MIP może działać wyłącznie na terenie Rzeczypospolitej Polskiej.

Uwaga! Średnia wartość transakcji dokonanych w ramach MIP nie może przekroczyć 1 500 000 euro za ostatnie 12 miesięcy. Dotyczy to wszystkich transakcji MIP- w tym również tych, które dokonywane są za pośrednictwem agentów.

Jakie wymagania należy spełnić, aby zostać MIP?

Dobra wiadomość jest taka, że wymagania w zakresie otrzymania statusu MIP są mniejsze niż w przypadku innych podmiotów. Dodatkowo, sama procedura jest nieco przyspieszona i trwa kilka miesięcy (podczas gdy uzyskanie statusu KIP może potrwać nawet 2 lata).

Rozwiązania organizacyjne: podmiot starający się o uzyskanie statusu MIP musi posiadać odpowiednie rozwiązania organizacyjne, które pozwolą mu na wypełnienie obowiązków, wynikających z ustawy. Jakie to rozwiązania:

– musi posiadać narzędzia i możliwości, pozwalające na wyliczenie, czy nie została przekroczona maksymalna kwota dopuszczalnych transakcji (w ramach konta użytkownika oraz miesięcznie);

–  musi zadbać o wypełnienie obowiązków wynikających z przepisów AML (zgodnie z ustawą z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu);

– zobowiązana jest do posiadania programu działalności oraz planu finansowego na pierwsze 12 miesięcy działalności;

– przed złożeniem wniosku ma obowiązek przygotować i wdrożyć odpowiednie procedury zarządzania ryzykiem.

Rodzaj prowadzonej działalności gospodarczej: MIP może być prowadzona w ramach każdego rodzaju działalności gospodarczej, w tym w ramach jednoosobowej działalności gospodarczej. Brak również wymogów odnośnie kapitału MIP.

Wymogi odnośnie osób zarządzających: W stosunku osób zarządzających MIP brak jest wymogów odnośnie ich wykształcenia, czy doświadczenia. Ustawa przewiduje jednak wymóg niekaralności takich osób- w zakresie enumeratywnie wymienionych w niej przestępstw.

Rozwiązania odnośnie przechowywania środków użytkowników: Ustawa zabrania łączenia środków użytkowników ze środkami MIP. Jeżeli środki nie trafiają bezpośrednio do odbiorcy transakcji to powinny być składane na odpowiednim rachunku bankowym lub inwestowane w bezpieczne aktywa.

Obowiązki informacyjne i sprawozdawcze wobec KNF: Mała Instytucja Płatnicza jest obowiązana do przekazywania KNF informacji o łącznej liczbie wykonanych przez nią transakcji w danym kwartale, roku lub miesiącu (przy czym informacja odnośnie miesiąca dotyczy sytuacji, w której doszło do przekroczenia limitów transakcyjnych). MIP zobowiązana jest również do składania rocznych oraz kwartalnych sprawozdań wobec KNF, a także do składania wniosków do rejestru w przypadku zmiany danych. Pamiętajmy, że wszelkie obowiązki sprawozdawcze muszą zostać wypełnione także wtedy, gdy MIP nie przeprowadziło żadnej transakcji.

Inne obowiązki MIP: MIP musi zawsze mieć na uwadze obowiązujące przepisy w ramach przeciwdziałania praniu brudnych pieniędzy i finansowaniu terroryzmu (AML) i w tym zakresie posiadać odpowiednie procedury i polityki, zapewniające zgodność z przepisami ustawy. Dodatkowo, MIP powinien przestrzegać zasad Ładu Korporacyjnego (według Komisji Nadzoru Finansowego), a także zadbać o przestrzeganie i wdrożenie przepisów RODO, jak również zastosowanie Komunikatu KNF odnośnie przetwarzania danych w chmurze obliczeniowej. MIP musi również posiadać regulamin rozpatrywania reklamacji klientów.

Jak złożyć wniosek i ile to wszystko potrwa?

Wniosek składany jest na formularzu (nie jest on obowiązkowy, ale zalecany), zawierającym najważniejsze informacje odnośnie podmiotu prowadzącego działalność, a także samej planowanej działalności. Wypełniony wniosek wraz z załącznikami należy złożyć do KNF drogą pocztową, elektroniczną lub osobiście. We wniosku należy podać m.in.:

– rodzaj planowanych usług płatniczych wraz z ich opisem oraz schematem graficznym;

– listę oddziałów wraz z danymi (jeżeli oddziały będą świadczyć usługi płatnicze);

– listę agentów wraz z danymi oraz zawiadomieniem o tym, że agenci będą świadczyć usługi w imieniu MIP-u (jeżeli dotyczy).

Opłata od wniosku wynosi 616 zł. Samo postępowanie nie jest długie, ponieważ KNF ma obowiązek rozpatrzyć wniosek w ciągu 3 miesięcy. W przypadku stwierdzenia braków KNF wzywa wnioskodawcę do jego uzupełnienia. Warto przy tym podkreślić, że jeżeli wniosek będzie wymagał uzupełnienia  to termin jego rozpatrzenia będzie liczony od momentu skompletowania wszystkich wymaganych dokumentów. Pamiętajmy również, że choć nie przekazujemy KNF wszystkich dokumentów (np. w zakresie AML) to Komisja może tych dokumentów od nas zażądać- dlatego zawsze należy mieć je przygotowane i wdrożone z odpowiednim wyprzedzeniem.

Jeżeli myślisz o staniu się MIP-em to śpiesz się, planowane są bowiem zmiany, które nałożą na osoby starające się o status MIP więcej obowiązków. Przedsiębiorcy będą musieli prawdopodobnie przekazywać do KNF-u więcej dokumentów, a konieczność ich weryfikacji może doprowadzić do wydłużenia procesu. Już teraz na stronach Rządowego Centrum Legislacji można zapoznać się z projektem, który obliguje przedsiębiorców do przedstawienia procedury AML na etapie składania wniosku, a także określenia dodatkowej branży, w której działa przedsiębiorca (jeżeli taka branża istnieje). Wszystko to wskazuje na ogólną tendencję do zwiększenia wymagań w stosunku do MIP-u w przyszłości.

Mała Instytucja Płatnicza jest obecnie w mojej opinii najbardziej elastycznym rozwiązaniem dla przedsiębiorców początkujących w branży fin- tech, jak również dla tych, którzy planują działalność w sektorze finansowym na mniejszą skalę. Procedura uzyskania statusu MIP-u jest szybka i znacznie prostsza niż miałoby to miejsce w przypadku KIP-u. Dodatkowo, MIP nie ma specjalnych wymagań w zakresie kapitału, formy prowadzenia działalności, a wymagania w stosunku do kadry zarządzającej są mniejsze niż w przypadku innych instytucji finansowych.

Jeżeli interesuje Cię, czy stosowanie kart podarunkowych wymaga licencji KNF- kliknij tutaj.

Jeśli chcesz być na bieżąco z tym, co robimy odwiedź nasz profil na Linkedin. Piszemy tylko o sprawach ważnych dla przedsiębiorców.

Artykuł Mała Instytucja Płatnicza- jakie możliwości daje przedsiębiorcom? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Wyłączenia ustawowe- rodzaje i warunki

Na szczęście nie każdy przedsiębiorca będzie w takiej sytuacji podlegał obowiązkowi wpisu do rejestru lub uzyskania licencji. Ustawodawca przewidział, bowiem istotny wyjątek, który pozwala przedsiębiorcom na takie działania bez konieczności dopełnienia formalności. Przepisy ustawy budziły jednak pewne wątpliwości, stąd Komisja Nadzory Finansowego zdecydowała się nawet na wydanie Komunikatu w tej sprawie[i]. W niniejszym artykule omówię jedynie wyłączenie, do którego odniosła się KNF, tj. z art. 6 pkt. 11 ustawy o usługach płatniczych[ii]. Wskazany przepis przewiduje, że ustawa nie ma zastosowania w przypadku usług opartych na instrumentach płatniczych, które można wykorzystywać jedynie w ograniczony sposób i które spełniają co najmniej jeden z poniższych warunków:

1. pozwalają posiadaczowi nabywać towary lub usługi wyłącznie w placówkach wydawców tych instrumentów lub
2. w ramach ograniczonej sieci podmiotów związanych umową handlową bezpośrednio z zawodowym wydawcą tych instrumentów;
3.  służą wyłącznie do nabywania bardzo ograniczonego zakresu towarów lub usług,
4. mogą być używane wyłącznie w jednym państwie członkowskim, jeżeli instrumenty takie są dostarczane na wniosek przedsiębiorcy lub jednostki sektora finansów publicznych, są regulowane ze względu na określone cele społeczne lub podatkowe przez krajowy lub samorządowy organ administracji publicznej i służą do nabycia określonych towarów lub usług od dostawców związanych z wydawcą umową handlową.

Wszystkie wskazane wyłączenia dotyczą instrumentów płatniczych

Instrument płatniczy został zdefiniowany w ustawie, jednak Komunikat KNF dostarcza nam dodatkowych informacji w tym względzie. Zgodnie z komunikatem takim instrumentem będą:

– karty płatnicze- kredytowe, debetowe, przedpłacowe, podarunkowe;

– karty wirtualne;

– aplikacje mobilne (pod warunkiem, że podmiot wydający aplikację wchodzi w posiadanie środków pieniężnych).

A zatem popularne konta wirtualne, w ramach których zbieramy środki pieniężne (np. w celu wykorzystania na kolejne zakupy) będą zazwyczaj instrumentem płatniczym w rozumieniu ustawy. Poniżej przedstawię jednak w jaki sposób działać, aby nie być zobligowanym do wypełniania żadnych szczególnych obowiązków-, przy czym skupię się na tym, co mówi nam ustawa oraz wspomniany wyżej Komunikat KNF-u, a na koniec przytoczę najnowsze wytyczne EBA.

1. Wyłączenie dotyczące możliwości nabywania towarów lub usług wyłącznie w placówkach wydawcy instrumentów

W tym zakresie KNF wskazała, że wyłączenie dotyczy takiej sytuacji, w której transakcje płatnicze są dokonywane tylko w ramach działalności wydawcy instrumentów płatniczych. Oznacza to, że jeżeli  przykładowo dany sklep będzie wydawał karty płatnicze i chce korzystać z tego wyłączenie to z tych kart użytkownicy będą mogli skorzystać wyłącznie w tym właśnie sklepie. Nie chodzi tutaj jednak nawet o konkretny sklep, ale wszystkie sklepy należące do danej sieci. „Placówka” oznacza dany punkt sprzedaży należący do wydawcy, którego działalność polegać będzie na dystrybucji dóbr i usług.

2. Wyłączenie tzw. „ograniczonej sieci”

Tzw. wyłączenie ograniczonej sieci dotyczy ograniczonej sieci dostawców towarów i usług, związanych umową handlową bezpośrednio z zawodowym wydawcą instrumentu. Oznacza to, że jeden podmiot jest wydawcą instrumentów płatniczych i umożliwia płatności za ich pośrednictwem w ograniczonej sieci podmiotów (sprzedawców, usługodawców), które mają z nim umowę handlową. KNF podaje tutaj jako przykład karty podarunkowe służące do opłacania usług lub zakupów w ramach centrum handlowego. Podmiot prowadzący takie centrum handlowe, będący jednocześnie wydawcą, zawiera z poszczególnymi usługodawcami i sprzedawcami umowy o uznawaniu tych kart przy płatnościach. Klienci sklepu mają wówczas możliwość zakupu takich kart i realizacji ich w ramach danego centrum handlowego.

Wydaje się, że w niektórych przypadkach ocena, czy mamy do czynienia z „ograniczoną” siecią, czy też nie może nastręczać trudności. Odnoście centrów handlowych stacjonarnych KNF właściwie przesądził, że będą podlegać pod ten wyjątek. W praktyce jednak, w dobie Internetu, gdzie dana platforma handlowa może mieć wielu partnerów, interpretacja  sformułowania „ograniczona sieć” będzie mieć kluczowe znaczenie. Według Słownika Języka Polskiego PWN „ograniczony” oznacza tyle co „mający niewielki zakres”[iii]. Jeżeli zatem chcemy prowadzić platformę sprzedażową online i współpracować z zewnętrznymi sprzedawcami czy dystrybutorami, to musimy zachować daleko posuniętą ostrożność w stosowaniu wskazanego wyjątku. Jeżeli zewnętrznych sprzedawców będzie wielu to opisywana przesłanka prawdopodobnie nie zostanie wypełniona. Nie ma tutaj jednak żadnej sztywnej granicy, stąd oceny należy dokonywać na gruncie konkretnego przypadku.

3. Wyłączenie dotyczące ograniczonego zakresu towarów i usług

W zakresie wyjątku dotyczącego ograniczonego zakresu towarów i usług KNF jest dość precyzyjna i wskazuje, że ograniczony zakres towarów i usług oznacza zamknięty, policzalny katalog składający się z kilku elementów. Jednocześnie KNF zastrzega, że każdorazowy przypadek tego wyłączenia musi być oceniany indywidualnie. Jako przykłady takich usług KNF wskazuje:

– karty paliwowe- wyłącznie na zakup paliwa lub materiałów eksploatacyjnych do samochodów;

– wnoszenie opłat za przejazd autostradami;

– karty transportu miejskiego.

Wydaje się wobec powyższego, że najbezpieczniej, aby  dany instrument płatniczy umożliwiał zakup jednego rodzaju usługi lub towaru albo aby towary lub usługi, jeżeli jest ich więcej, były ze sobą w jakiś sposób powiązane. Nie spełnią tego wymogu karty, z których można korzystać w wielu sklepach, które nie są ze sobą w jakiś sposób powiązane (np. nie działają w jednej sieci).

4. Wyłączenia w zakresie świadczeń publicznych

Ostatnie wyłączenie dotyczy takich instrumentów płatniczych, w ramach których dochodzi do dystrybucji świadczeń społecznych lub socjalnych. KNF wskazuje, że może tutaj chodzić o dofinansowanie do lekarstw, żywności itp. W takiej sytuacji wydawca kart również będzie korzystał z wyłączenia.

Całkowita wartość transakcji i powiadomienie KNF

To jednak nie koniec warunków, o których musimy pamiętać. Jeżeli prowadząc działalność korzystamy z wyłączeń wskazanych w punktach 1, 2 lub 3 (w ustawie są to art. 6 pkt. 11 lit a) i b)) to łączna wartość transakcji dokonanych w ciągu ostatnich 12 miesięcy nie może przekraczać kwoty 1 mln euro. KNF wyjaśnia przy tym, że chodzi tutaj o łączną wartość wszystkich transakcji wykonanych w ramach każdej kategorii wyłączenia, którą stosujemy, a nie danego, pojedynczego instrumentu płatniczego. Nadto, jeżeli dany podmiot wydaje kilka rodzajów instrumentów to zsumowaniu podlegają wartości transakcji dokonane przy użyciu każdego z tych instrumentów.

Kiedy powiadomić KNF?

Jeżeli przekroczymy próg transakcji to musimy o tym powiadomić KNF i przedłożyć opis oferowanych usług wraz ze wskazaniem podstawy prawnej zastosowanego wyłączenia. Oceny, którą podstawę prawną należy w danym wypadku zastosować dokonuje podmiot świadczący usługi.

Podmioty stosujące wyłączenia powinny w każdym miesiącu kontrolować wartość transakcji za ostatnie 12 miesięcy. Jeżeli w tym okresie dojdzie do przekroczenia kwoty 1 mln Euro to należy dokonać powiadomienia KNF w terminie 14 dni od ostatniego dnia miesiąca, w którym doszło o przekroczenia.

Wytyczne EBA

W dniu 24 lutego 2022 r. European Banking Authority wydała Wytyczne dotyczące wyłączenia z tytułu ograniczonej sieci zgodnego z drugą dyrektywą w sprawie usług płatniczych (PSD2)[iv]. Wytyczne skierowane są do organów nadzorczych poszczególnych państw i powinny być stosowane przez te organy. Wytyczne są lekturą obowiązkową dla tych przedsiębiorców, którzy korzystają z opisanych wyżej wyłączeń. Co m.in. regulują wytyczne:

– wyłączenia powinny być dopuszczalne w przypadku wszystkich instrumentów płatniczych objętych PSD2

– instrumenty mogą być wykorzystywane zarówno do nabywania towarów i usług fizycznych, jak i cyfrowych

– organy nie powinny nakładać ograniczeń co do sposobu transferu środków pieniężnych zasilających instrument płatniczy

– organy zobowiązane są sprawdzić czy wydawcy stosują ograniczenia techniczne i umowne ograniczające korzystanie z tego instrumentu płatniczego, przy czym sama umowa nie jest wystarczająca. EBA precyzuje również, w jaki sposób te ograniczenia techniczne powinny być rozumiane.

EBA przekazuje również ogólne wskazówki dotyczące podejścia organów nadzorczych do poszczególnych instrumentów płatniczych, a także wydawcy.

Ograniczona sieć dostawców według EBA

EBA wskazuje na pomocnicze kwestie, które powinny być brane pod uwagę przy ocenie, czy korzystanie z instrumentu płatniczego odbywa się w ramach ograniczonej sieci dostawców:

1. Fakt zawarcia między wydawcą instrumentu płatniczego a każdym dostawcą towarów i usług oraz, w stosownych przypadkach, każdym akceptantem, działającym w ramach ograniczonej sieci, bezpośredniej umowy o akceptację transakcji płatniczych;
2. Dopuszczalną maksymalną liczbę dostawców towarów i usług działających w ramach ograniczonej sieci, którą wydawca wskazał w powiadomieniu;
3. Oferowanie przez dostawcę towarów i usług pod wspólną marką charakteryzującą ograniczoną sieć i kierującą do użytkownika instrumentu płatniczego przekaz wizualny.

Organy nadzorcze powinny również pomocniczo stosować następujące kryteria:

a) Wskazany przez wydawcę obszar geograficzny, na którym dostarczane są towary i świadczone są usługi;

b) Wolumen i wartość transakcji płatniczych, które mają być zgodnie z przewidywaniami wydawcy realizowane co roku przy użyciu instrumentów płatniczych;

c) Maksymalną kwotę, na jaką zgodnie z przewidywaniami wydawcy będą opiewały instrumenty płatnicze;

d) Maksymalną liczbę instrumentów płatniczych, które zgodnie z przewidywaniami wydawcy zostaną wydane; oraz

e) Zidentyfikowane przez wydawcę ryzyka, na jakie narażony jest klient w związku z korzystaniem z określonego instrumentu płatniczego.

W zakresie ograniczonej sieci dostawców EBA wskazuje, że dotyczy ono zarówno sklepów internetowych, jak i fizycznych albo jednego rodzaju sklepów. Inaczej jest natomiast w zakresie nabywania towarów w pomieszczeniach wydawcy, ponieważ to wyłączenie dotyczy wyłącznie sklepów fizycznych.

Wyłączenia dotyczące ograniczonego asortymentu towarów i usług

Odnośnie wyłączenia dotyczącego ograniczonego asortymentu towarów i usług EBA zwraca uwagę, że pomiędzy towarami lub usługami musi istnieć związek funkcjonalny, co powinno zostać wskazane w powiadomieniu. Dotyczyć to może zarówno usług fizycznych, jak i cyfrowych. Uzupełniająco organy nadzorcze powinny brać pod uwagę następujące czynniki:

1. Wolumen i wartość transakcji płatniczych, które mają być zgodnie z przewidywaniami wydawcy realizowane co roku przy użyciu instrumentów płatniczych;
2. Maksymalną kwotę, na jaką zgodnie z przewidywaniami wydawcy będą opiewały instrumenty płatnicze;
3. Maksymalną liczbę instrumentów płatniczych, które zgodnie z przewidywaniami wydawcy zostaną wydane; oraz
4.  Zidentyfikowane przez wydawcę ryzyka, na jakie narażony jest klient w związku z korzystaniem z określonego instrumentu płatniczego.

Świadczenie usług przez podmioty objęte regulacją PSD2 według EBA

Świadczenie usług, podlegającym ograniczeniom, jest możliwe wyłącznie przy spełnieniu przesłanek określonych w przepisach prawa oraz wytycznych EBA. Wydawca, który korzysta z wyłączeń na podstawie opisywanych wyżej przepisów, świadczący również usługi regulowane, powinien zadbać o odpowiednie oddzielenie jednych usług od drugich. Organ nadzorczy powinien zwracać uwagę, czy poszczególne kategorie usług odpowiednio się od siebie rozróżniają, a także czy usługi objęte wyłączeniem nie wpłyną negatywnie na sytuację finansową dostawcy usług płatniczych.

Powiadomienia według EBA

EBA ma również kilka wskazówek w zakresie powiadomień. W pierwszej kolejności EBA wskazuje, ze powiadomienie powinno zostać przedłożone w każdym państwie członkowskim, w którym znajdują się użytkownicy instrumentu płatniczego.

Według EBA opis działalności powinien zawierać informacje:

a) o tym, czy towary lub usługi do nabycia są fizyczne lub cyfrowe;

 b) o innych państwach członkowskich, w których ten sam wydawca świadczy zgłoszoną w powiadomieniu skierowanym do właściwego organu usługę na podstawie art. 3 lit. k) PSD2; oraz

c) wszelkie inne informacje umożliwiające właściwym organom ocenę powiadomienia w świetle niniejszych wytycznych.

EBA zwraca również uwagę, że dostawca usług płatniczych powinien być zobowiązany do przedłożenia nowego powiadomienia za każdym razem, gdy mamy do czynienia ze zmianą istotnej informacji dotyczącej instrumentu płatniczego (np. zaprzestanie świadczenia usługi, zwiększenie liczby dostawców, zmiana obszaru geograficznego). Organ jest uprawniony do żądania przedłożenia takiego powiadomienia, jeżeli uzna to za konieczne. W opisie działalności w rejestrze należy umieścić informację o innych państwach członkowskich, w których działa dany podmiot.

Przedsiębiorcy stosujący rozwiązania lojalnościowe muszą zachować daleko idącą ostrożność przy wyborze stosownych instrumentów do swoich programów lojalnościowych. Jeżeli chcą skorzystać z odpisywanych wyżej wyłączeń muszą mieć na uwadze przepisy dyrektywy PSD2, polskiej ustawy, a także opisywanego wyżej komunikatu KNF oraz Wytycznych EBA. Dopiero dokładna analiza wszystkich tych dokumentów i zastosowanie odpowiedniego wyłączenia jest dla przedsiębiorcy gwarancją działania zgodnego z prawem.

[i] Komunikat dostępny tutaj: https://www.knf.gov.pl/o_nas/komunikaty?articleId=64209&p_id=18

[ii] Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. 2011 nr 199 poz. 1175).

[iii] Słownik Języka Polskiego wydawnictwa PWN dostępny tutaj: https://sjp.pwn.pl/slowniki/ograniczony.html

[iv] Wytyczne dostępne tutaj: https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/Guidelines/2022/EBA-GL-2022-02%20GL%20on%20limited%20network%20exclusions/Translations/1030095/GL%20on%20the%20limited%20network%20exclusion%20under%20PSD2_PL_COR.pdf

Artykuł Kiedy stosowanie kart podarunkowych lub lojalnościowych wymaga licencji KNF? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.