Urząd opublikował projekt Stanowiska UKNF w sprawie wykorzystywania mediów społecznościowych przez podmioty nadzorowane oraz osoby zatrudnione w tych podmiotach, które ma być „reakcją Urzędu na coraz częstsze wykorzystywanie mediów społecznościowych w działalności prowadzonej przez podmioty nadzorowane. Dotyczy to w szczególności udostępniania informacji o ich usługach i produktach”.
Stanowisko liczy sobie 30 stron, jest podzielone na następujące rozdziały: 1. Wstęp/2. Zasady ogólne/ 3. Uwarunkowania związane z treścią udostępnianych informacji w mediach społecznościowych/ 4. Odpowiedzialność za zamieszczanie, udostępnianie lub komentowanie wpisów/ 5. Współpraca podmiotu nadzorowanego z podmiotami trzecimi w zakresie aktywności w mediach społecznościowych w tym 5A. Korzystanie przez podmiot nadzorowany ze zwiększonej rozpoznawalności niektórych osób w mediach społecznościowych oraz 5B. Współpraca z wyspecjalizowanym podmiotem zewnętrznym, w związku z prowadzeniem konta podmiotu nadzorowanego w mediach społecznościowych/ 6. Przechowywanie i archiwizowanie wpisów zamieszczanych w mediach społecznościowych/ 7. Uwarunkowania związane z reżimem Rozporządzenia MAR i Rozporządzenia ws. rekomendacji/ 8. Rola systemu nadzoru zgodności działalności z prawem (compliance) w podmiotach nadzorowanych/ 9. Cyberbezpieczeństwo/ 10. Nota prawna/ 11. Wykaz skrótów.
Na uwagę zwraca ciekawie przedstawiony Załącznik 1 – Praktyczne aspekty wykorzystywania mediów społecznościowych przez podmioty nadzorowane oraz osoby zatrudnione przez ten podmiot (przykłady) a także szata graficzna całego projektu Stanowiska. Projekt Stanowiska ma być konsultowany z szeroko pojętym rynkiem.
Przechodząc do meritum zwrócę uwagę na kwestie problematyczne we wdrożeniu dla funkcji compliance, choć oczywiście projekt oceniam jako ważny krok ku uregulowaniu kwestii, które do dziś pozostawały nieco poza sferą regulacji podmiotów nadzorowanych.
Kwestie compliance
Nie sposób odmówić słuszności stwierdzeniu, że aktywność danego podmiotu nadzorowanego powinna być w centrum zainteresowania compliance i temu, że podmiot nadzorowany „powinien wprowadzić mechanizmy kontrolne dotyczące treści zamieszczanych w mediach społecznościowych mające na celu zapewnienie zgodności z przepisami prawa i regulacjami wewnętrznymi oraz z uwzględnieniem rekomendacji nadzorczych„. Dlatego jak najbardziej popieram postulat wdrożenia w podmiocie nadzorowanym „polityki” regulującej te kwestie (rozumianej niekoniecznie jako wewnętrzny akt normatywny w podmiocie nadzorowanym, ale raczej jako ogół procesów i procedur) i uwzględnienia w niej funkcji compliance.
Urząd wskazuje na dwie formy „nadzoru” funkcji w zakresie działalności w social media tj.: 1) uzyskanie opinii komórki wykonującą funkcję compliance przed publikacją informacji w mediach społecznościowych uwzględniającej m.in. charakterystykę serwisów społecznościowych, na których komunikat (wpis) ma zostać opublikowany (ocena ex ante) oraz 2) dobór odpowiedniej, na podstawie szacowania ryzyka, liczby tych komunikatów (wpisów) po ich opublikowaniu w mediach społecznościowych oraz ich następcza analiza (ocena ex post). Zwraca uwagę spójnik „albo”, który sugerowałby (na etapie projektu), że podmiot nadzorowany „może” stosować jeden ze wskazanych sposobów. Intencja Urzędu wydaje się być jednak inna, mianowicie w pkt. 8.4 wskazano, że podmiot nadzorowany powinien pisemnie określić sposób postępowania (ocena ex post, ocena ex ante) w odniesieniu do poszczególnych kategorii wpisów w mediach społecznościowych oraz zasady obowiązujące przy określaniu i doborze próby do oceny ex post.
Zatem jako funkcja compliance powinniśmy stosować dwa sposoby zarządzania ryzykiem – ex ante i ex post, co generalnie wpisuje się w praktykę compliance na rynku, aczkolwiek z pewnymi zastrzeżeniami. W wskazanym pkt. 8.4 wskazano także, że w podmiocie nadzorowanym powinien odbyć się proces kategoryzacji wszystkich przekazów w social media, tak by punkt po punkcie określić, dla których funkcja compliance będzie stosować ocenę ex ante a dla którego ex post, i tu oczywiście nie sposób się nie zgodzić z wizją Urzędu – funkcja compliance powinna znać wszystkie „kategorie” wpisów w social media, choć znać kategorie to jeszcze moim zdaniem nie znaczy, że powinna opiniować każdy przekaz ex ante.
Wydaje się, że na podstawie pkt. 8.5 projektu Stanowiska można teoretycznie przyjąć, że wszelkiej maści komentarze/posty (nie tzw. komentarze ekonomiczne, tylko raczej krótkie w swej formie odniesienia do konkretnych tematów, krótkie relacje z wydarzeniem etc.) na serwisach typu Twitter/Linkedin/Facebook mogą być oceniane przez funkcję compliance ex post („Do kategorii wpisów podlegających ocenie ex post zaliczyć można komunikację prowadzoną w czasie rzeczywistym w formie dyskusji z innymi użytkownikami.”.).
Jeśli tak można czytać wskazane postanowienia, to co do zasady się z nimi zgadzam, w innym wypadku, gdyby funkcja compliance miałaby „posty” na wspomnianych serwisach oceniać ex ante, uważam, że nastręczałoby zbyt dużo problemów, kosztów (także osobowych), zaś nakład pracy mógłby być nieproporcjonalny do ryzyka i potencjalnych korzyści.
I tu dochodzimy do pkt. 8.6, który wskazuje, że „Ze względu na naturalne cechy niektórych informacji (pewna trwałość i statyczność), do katalogu weryfikacji według formuły ex ante można zaliczyć informacje zamieszczane w szablonach, danych profilowych czy tablicach kont w serwisach społecznościowych. Analogiczne podejście wydaje się zasadne w przypadku zamieszczania informacji o charakterze promocyjno-reklamowym, czy w przypadku zamieszczenia materiałów na blogach lub vlogach niewymagających niezwłocznej publikacji.”. I o ile można zrozumieć opiniowanie ex ante wszelkich materiałów niewymagających niezwłocznej publikacji, to już tzw. szybkie posty niekoniecznie widziałbym w domenie ex ante compliance, raczej w ocenie ex post (przyjmując założenie, że np. osoby udostępniające takie posty działają na zasadzie sprawdzenia na „dwie pary oczu”).
Trzeba natomiast pozytywnie odnieść się do kwestii wskazanych w pkt. 8.7 projektu Stanowiska tj. (zdanie pierwsze): „W niektórych przypadkach podmiot nadzorowany może rozważyć odstąpienie od weryfikacji ex ante zawartości postów. Przykładowo, taka okoliczność będzie miała miejsce w sytuacji dalszego, prostego udostępniania materiałów podmiotu nadzorowanego przez osoby zatrudnione w podmiocie, które to materiały zostały już zatwierdzone przez komórkę compliance.„. Jest to praktyczne podejście, stosowane dziś na rynku, w którym funkcja compliance akceptuje większy materiał, zaś poszczególne jednostki biznesowe wykorzystują jego fragmenty do publikacji np. w serwisach społecznościowych (co do zasady bez zmiany meritum – tak jak wskazano w pkt. 8.7 zdanie drugie – „Dopuszczając taką możliwość podmiot nadzorowany powinien jednocześnie wprowadzić czytelne zasady zapobiegające ryzykom zniekształcania pierwotnie zatwierdzonego przekazu np. braku możliwości modyfikacji materiału, dodawania własnych ocen i komentarzy bądź publikowania jedynie selektywnych treści, które mogłyby zmieniać kontekst zatwierdzonego przekazu„).
Punkty 8.8 i 8.10 co do zasady w kontekście obowiązków funkcji compliance, nie wydają się być kontrowersyjnie, a nawet ocenić je trzeba zdecydowanie pozytywnie. To co dla pkt. 8.8 może budzić wątpliwości (choć wątpliwości są raczej natury ogólnej, niż skierowane w stronę projektu Stanowiska) to wskazanie, że „Podmiot nadzorowany określa samodzielnie metody i techniczne rozwiązania weryfikacji aktywności w mediach społecznościowych, jednakże powinny być to rozwiązania, które wykażą, że analiza aktywności jest przeprowadzana w sposób cykliczny, efektywny, sprawny, w rozmiarze dostosowanym do rodzajów wpisów (statyczne, dynamiczne) oraz w sposób adekwatny do liczby osób, pełnionych przez nie funkcji oraz do dotychczasowej intensyfikacji ich obecności w mediach społecznościowych„.
Wątpliwość natury ogólnej, nie skierowanej w stronę projektu Stanowiska, jest taka, że np. wskazane wyżej serwisy co do zasady (może z pewnymi wyjątkami poza Facebook’iem) dopuszczają konta „służbowe” w rozumieniu „konto organizacji”, ale nie mają szczególnej funkcjonalności dla „konto służbowe pracownika, wykonującego czynności kontrolne”, co często w praktyce oznacza, że pracownik funkcji compliance dokonując przeglądu tego, co na portalu społecznościowym się znajduje, robi to z własnego zawodowego, aczkolwiek dalej prywatnego (osoby fizycznej), profilu. Rozwiązanie, w którym pracownicy funkcji compliance mają zaś dostęp do loginów i haseł oficjalnych portali organizacji (które to dostępy nie różnicują użytkowników jednego profilu na „read-only” i „constant”) nie wydaje się zaś być efektywnym i nie pasuje mi do koncepcji funkcji compliance w modelu trzech linii obrony czy to via Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach czy Systemu MiFID II. Ale jak wspomniałem na początku, jest to problem o wiele szerszy, aniżeli tylko wynikający z projektu Stanowiska, problem, z którym w ten czy inny sposób starają się radzić instytucje, już od dłuższego czasu.
Trudności praktyczne może też sprawiać kwestia opisana w pkt. 8.9 j. „Wprowadzone rozwiązania, jakkolwiek autonomiczne w wyborze, powinny zapewniać posiadanie przez komórkę compliance: 1) oryginalnych formatów wpisów lub materiałów zamieszczanych w mediach społecznościowych, 2) informacji, kto i kiedy zatwierdził opublikowanie lub zmodyfikowanie wpisu (o ile przewidziane jest zatwierdzanie wiadomości ex ante), 3) możliwość śledzenia „życia” wiadomości od momentu rozpowszechniania lub jej zmodyfikowania, aż do momentu ewentualnego jej usunięcia, w przypadku wiadomości weryfikowanych ex post.„.
Jeśli powyższe czytać z fragmentami projektu Stanowiska, które stanowią o archiwizacji wpisów w social media, to możemy dojść do wniosku, że powinniśmy każdy wpis, wraz z komentarzami osób „postronnych” pod nim zapisywać w formie „print screen’a”, co z jednej strony powodować może drastyczne zwiększenie niezbędnej przestrzeni dyskowej czy chociażby nakładu pracy (taki *jpg trzeba „wkleić”, opisać etc.). Aczkolwiek nie wydaje mi się, żeby taka była intencja Urzędu, pamiętając, że Urząd jest raczej zwolennikiem funkcji compliance działającej sprawnie i efektywnie, bez manualnych i nieefektywnych procesów, które na bazie oceny ryzyka czy apetytu na ryzyko podmiotu nadzorowanego, niekoniecznie mogą być traktowane priorytetowo.
Reasumując projekt Stanowiska, jego przedmiot i koncepcję oceniam pozytywnie jako ważny krok ku objęciu ogólnie pojętym nadzorem, tak w podmiotach nadzorowanych przez funkcję compliance, jak i na całym rynku przez Urząd, działalności podmiotów nadzorowanych w social media. Kilka kwestii wymaga jeszcze w projekcie Stanowiska być może wyjaśnienia, być może dopracowania ale na szczęście Urząd zdecydował się także skonsultować projekt z rynkiem, zatem sądzę, że wskazane konsultacje przyniosą rozstrzygnięcie kwestii dziś budzących wątpliwości.
MiFID, MAR & Compliance 