Lipiec 2022 – MiFID, MAR & Compliance

„MAR-Light” – zmiana list insiderów

W dniu 14 lipca 2022 r. zostało opublikowane Rozporządzenie Wykonawcze Komisji (UE) 2022/1210 z dnia 13 lipca 2022 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 596/2014, w odniesieniu do formatu list osób mających dostęp do informacji poufnych i ich aktualizacji^[1]. Rozporządzenie wejdzie w życie 20 dni po jego opublikowaniu, jest konsekwencją nowelizacji Rozporządzenia MAR (tzw. MAR-Light), czyli zmiany rozporządzenia MAR dokonanej rozporządzeniem 2019/2115 w odniesieniu do promowania korzystania z rynków rozwoju MŚP, oraz uchylającego dyrektywę 2003/6/WE Parlamentu Europejskiego i Rady i dyrektywy Komisji 2003/124/WE, 2003/125/WE i 2004/72/WE^[2].

Rozporządzenie MAR (wersja po zmianach określonych rozporządzeniem 2019/2115) w art. 18 ust. 1 stanowi, że emitenci i wszelkie osoby działające w ich imieniu lub na ich rzecz sporządzają listę wszystkich osób mających dostęp do informacji poufnych, które pracują dla nich na podstawie umowy o pracę lub wykonują, na innej podstawie, zadania, w ramach których mają dostęp do informacji poufnych, takich jak doradcy, księgowi lub agencje ratingowe (lista osób mających dostęp do informacji poufnych), także niezwłocznie aktualizują listę osób mających dostęp do informacji poufnych zgodnie z art. 18 ust. 4 rozporządzenia MAR oraz przedstawiają listę osób mających dostęp do informacji poufnych właściwemu organowi na jego żądanie w możliwie najkrótszym terminie. Obrazowo zatem można zaprezentować ww. podział w następujący sposób:

Zgodnie z art. 1 ust. 3 rozporządzenia 2022/1210 listy osób mających dostęp do informacji poufnych sporządza się w formie elektronicznej, co jest unormowaniem powszechnie przyjętej praktyki ale i powtórzeniem art. 2 ust. 3 w związku z art. 2 ust. 4 Rozporządzenia Wykonawczego Komisji (UE) 2016/347 z dnia 10 marca 2016 r. ustanawiającego wykonawcze standardy techniczne w odniesieniu do określonego formatu list osób mających dostęp do informacji poufnych i ich aktualizacji zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 596/2014^[3]. Przedmiotowe rozporządzenie 2016/347 zostało uchylone (art. 3 rozporządzenia 2022/1210), zaś odesłania do uchylonego rozporządzenia traktuje się jako odesłania do rozporządzenia 2022/1210.

Dodatkowo lista prowadzona w formacie elektronicznym w każdym momencie musi gwarantować, że dostęp do list osób mających dostęp do informacji poufnych jest ograniczony do wyraźnie określonych osób^[4], które potrzebują tego dostępu ze względu na charakter pełnionej przez nie funkcji lub zajmowanego przez nie stanowiska (analogicznie wcześniej art. 2 ust. 4 rozporządzenia 2016/347). Żeby być bardziej precyzyjnym i najdokładniej oddać wielość stanów faktycznych, wypadałoby również rozumieć „pełnioną funkcją/zajmowane stanowisko” przez pryzmat „wykonywanych czy powierzonych obowiązków”. Taka interpretacja wydaje się konsumować maksymalną liczbę stanów faktycznych występujących w praktyce obrotu.

Lista musi także zapewniać dokładność zamieszczonych informacji (art. 1 ust. 3 lit. b rozporządzenia 2022/1210), oraz że dostępne będą poprzednie wersje listy osób mających dostęp do informacji poufnych (art. 1 ust. 3 lit. b rozporządzenia 2022/1210, wcześniej jako „format elektroniczny zapewnia stale (…) dostęp do poprzednich wersji listy osób mających dostęp do informacji poufnych i możliwość przeszukiwania ich” (art. 2 ust. 4 lit. c) rozporządzenia 2016/347). To sformułowanie jest o tyle ciekawe, że analogicznie jak w przypadku ustawodawstwa MiFID II[5], stanowi o „wersjonowalności”, aczkolwiek wydaje się, że w ograniczonym zakresie, odmiennie od bezwzględnej „wersjonowalności” wskazanej w ustawodawstwie MiFID II. Oznacza to, zdaniem autora, że lista prowadzona w formie elektronicznej powinna zapewniać, że dostępne są poprzednie wersje listy osób mających dostęp do informacji poufnych. O ile cytowane rozporządzenie 2017/565 wydaje się przesądzać, że rejestry MiFID nie mogą być prowadzone w plikach typu word, excel (zapisywanie „na koniec dnia” w formacie pdf nie zapewnia, zdaniem autora, wskazanej „wersjonowalności”), o tyle w przypadku rozporządzenia 2022/1210 taka możliwość wydaje się być dopuszczalna („dostęp do poprzednich wersji listy(…)”. Może to oznaczać, że dla ustawodawcy europejskiego jest ważne, aby podmiot prowadził listę w taki sposób, żeby każda zmiana była widoczna w poszczególnych wersjach listy (w omawianym przypadku zapisywania pliku word, czy excel w postaci pdf, wydaje się, że każda zmiana danych zawartych w liście powinna skutkować nowym plikiem pdf np. ze wskazaniem numeru wersji i datą^[6]), ale bez (jak chciało rozporządzenie 2017/565) możliwości łatwego sprawdzenia wszelkich poprawek lub innych zmian, a także odtworzenia zawartości zapisów przed wprowadzeniem do nich poprawek czy zmian.

Jako uzupełnienie wymogów wobec listy warto wskazać także na motyw^[7] (3) rozporządzenia 2022/1210, zgodnie z którym „Ponieważ w obrębie podmiotu może jednocześnie istnieć wiele różnych informacji poufnych, listy osób mających dostęp do informacji poufnych powinny dokładnie określać konkretne informacje poufne, do jakich mają dostęp osoby pracujące dla danego podmiotu. W związku z tym listy osób mających dostęp do informacji poufnych powinny określać, co stanowi konkretną informację poufną (która może obejmować informacje dotyczące np. transakcji, projektu, zdarzenia, w tym zdarzenia korporacyjnego lub finansowego, publikacji sprawozdania finansowego lub informacji o korekcie zysku). W tym celu listy osób mających dostęp do informacji poufnych powinny być podzielone na sekcje, z oddzielnymi sekcjami dla każdej konkretnej informacji poufnej. W każdej sekcji należy wymienić wszystkie osoby, które mają dostęp do danej konkretnej informacji poufnej.”.

Chociaż motywy, zgodnie ze wskazaniem „Wspólnego przewodnika praktycznego Parlamentu Europejskiego, Rady i Komisji przeznaczonego dla osób redagujących akty prawne Unii Europejskiej” co do zasady nie zawierają treści normatywnych – „(…)motywy to część aktu zawierająca uzasadnienie i znajdująca się pomiędzy umocowaniami a częścią normatywną” oraz „Celem motywów jest zwięzłe uzasadnienie podstawowych przepisów części normatywnej bez ich przytaczania czy parafrazowania. Nie zawierają one wypowiedzi normatywnych (…)”, warto jednak wskazać w jaki sposób ustawodawca europejski, na kanwie motywów, widziałby prowadzenie listy osób posiadających dostęp do informacji poufnych:

– forma elektroniczna (o czym więcej powyżej) zapewniająca poufność które zawiera lista osób mających dostęp do informacji poufnych (motyw (9) rozporządzenia 2022/1210);

– możliwość „filtrowania po osobie”, tj. określenia do jakich informacji poufnych posiada dostęp dana osoba;

– określenie konkretnej informacji poufnej na danej liście, w danej zakładce tj. czego konkretnie lista dotyczy (wydaje się zatem, że w danym pliku powinno znajdować się pole opisowe, ze wskazaniem czego dotyczy dana informacja poufna – „co stanowi konkretną informację poufną (która może obejmować informacje dotyczące np. transakcji, projektu, zdarzenia, w tym zdarzenia korporacyjnego lub finansowego, publikacji sprawozdania finansowego lub informacji o korekcie zysku”);

– podział pliku (np. excel) na „sekcje”, czyli np. zakładki, z których każda będzie zawierać wykaz wszystkich osób, które miały dostęp do konkretnej informacji poufnej (za wyjątkiem osób posiadających dostęp do wszystkich informacji poufnych – zob. pkt. następny);

– motyw (4) rozporządzenia 2022/1210 wskazuje, że „Aby uniknąć powielania wpisów danych osobowych tych samych osób w różnych sekcjach listy osób mających dostęp do informacji poufnych, powinna istnieć możliwość zamieszczenia tych danych osobowych w odrębnej sekcji listy osób mających dostęp do informacji poufnych, określonej jako sekcja dotycząca osób mających stały dostęp do informacji poufnych, niepowiązana z konkretną informacją poufną. Sekcja dotycząca osób mających stały dostęp do informacji poufnych powinna obejmować wyłącznie te osoby, które w związku z charakterem pełnionej przez nie funkcji lub zajmowanego przez nie stanowiska mają stały dostęp do wszystkich informacji poufnych w obrębie danego podmiotu”.

Warto wskazać także na motyw (7) rozporządzenia 2022/1210, gdzie odniesiono się do przepisów RODO, wskazując, że lista osób mających dostęp do informacji poufnych powinna zawierać dane osobowe niezbędne do zidentyfikowania osób mających dostęp do informacji poufnych, zaś wszelkie przetwarzanie danych osobowych do celów sporządzania i przechowywania list osób mających dostęp do informacji poufnych, o których to listach mowa w art. 18 rozporządzenia (UE) nr 596/2014, powinno być zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679^[8].

Bardzo istotnym jest wskazanie w motywie (8) rozporządzenia 2022/1210 na fundamentalną rolę posiadania wiedzy przez dany podmiot o numerach telefonów „Listy osób mających dostęp do informacji poufnych powinny również zawierać dane, które mogą pomóc właściwym organom w czynnościach wyjaśniających oraz w szybkim analizowaniu praktyk handlowych osób mających dostęp do informacji poufnych, w ustaleniu powiązań między osobami mającymi dostęp do informacji poufnych a osobami uczestniczącymi w podejrzanych praktykach handlowych oraz w identyfikacji kontaktów między nimi w krytycznych momentach. Z tego względu zasadnicze znaczenie mają numery telefonów, ponieważ pozwalają one właściwemu organowi szybko podjąć działania oraz, jeżeli to konieczne, zwrócić się o udostępnienie rejestrów przesyłu danych. Ponadto dane takie powinny być dostępne od samego początku, tak by integralność czynności wyjaśniających nie była zagrożona przez to, że właściwy organ w trakcie czynności wyjaśniających musi zwrócić się o dalsze informacje do emitenta, uczestnika rynku uprawnień do emisji, platformy aukcyjnej, prowadzącego aukcje lub monitorującego aukcje lub osoby mającej dostęp do informacji poufnych.”, co oznacza, że wpisanie/podanie prywatnego numeru telefonu jest niezbędnym wymogiem, a wręcz kluczową daną dla ustawodawcy europejskiego. Zatem zarówno osoby posiadające dostęp do danej informacji poufnej, jak również służby wewnętrzne koordynujące wskazane kwestie (np. inspektor nadzoru, funkcja compliance) powinny dołożyć starań, by wszystkie wymagane dane znalazły się w danej liście (można np. tak opracować rozwiązania wewnętrzne w zakresie IT, że brak podania jakiejkolwiek danej wymaganej uniemożliwia wpis na daną listę).

Kluczowym w kontekście zmian wprowadzonych rozporządzeniem 2022/1210 jest odniesienie do art. 18 ust. 6 rozporządzenia MAR (wersja po zmianach określonych rozporządzeniem 2019/2115), zgodnie z którym emitenci, których instrumenty finansowe zostały dopuszczone do obrotu na rynku rozwoju MŚP, są uprawnieni do uwzględniania na swoich listach osób mających dostęp do informacji poufnych jedynie tych osób, które w związku z charakterem pełnionych przez nie funkcji lub stanowiska zajmowanego u emitenta mają regularny (tzw. „stały”) dostęp do informacji poufnych. W drodze odstępstwa od zdania poprzedniego, jeżeli jest to uzasadnione konkretnymi obawami dotyczącymi integralności rynku krajowego, państwa członkowskie mogą nałożyć na emitentów, których instrumenty finansowe zostały dopuszczone do obrotu na rynku rozwoju MŚP, obowiązek uwzględniania na ich listach osób mających dostęp do informacji poufnych wszystkich osób, nie tylko zaś tzw. isiderów stałych.

W przedmiotowym rozporządzeniu 2022/1210 lista osób mających dostęp do informacji poufnych, o której mowa w art. 18 ust. 6 akapit pierwszy rozporządzenia MAR, może zawierać wyłącznie dane osobowe osób mających regularny dostęp do informacji poufnych, co oznacza, że na liście takiej mogą być umieszczeni wyłącznie tzw. insiderzy stali (jak w motywie (1)) – osoby mające dostęp do informacji poufnych (ang. insiders)).

Motyw (9) wskazanego rozporządzenia wskazuje, że „aby uniknąć nakładania nieproporcjonalnego obciążenia administracyjnego na emitentów na rynkach rozwoju MŚP, wymóg sporządzania listy osób mających dostęp do informacji poufnych w formie elektronicznej nie powinien mieć zastosowania do tych emitentów (aczkolwiek mogą oni sporządzać ją w tej formie), pod warunkiem że zapewniona jest kompletność, poufność i integralność informacji.”

To co jest dodatkowo ciekawe, choć nad wyraz słuszne, to wskazanie w art. 2 ust. 2 akapit drugi rozporządzenia 2022/1210, że w przypadku, gdy sporządza się sekcję dotyczącą osób mających stały dostęp do informacji poufnych, danych osobowych osób mających stały dostęp do informacji poufnych nie zamieszcza się w odrębnych sekcjach listy osób mających dostęp do informacji poufnych odpowiadających poszczególnym informacjom poufnym (co oznacza, że de facto nie powiela się „wpisów” tych osób na sekcje zmienne – dotyczące określonych informacji poufnych).

Reasumując, rozporządzenie 2022/1210 jest w znacznej mierze ułatwieniem dla emitentów MŚP, jak wskazano w motywie (6) „(…)w świetle zasadniczo skromniejszych zasobów ludzkich i finansowych, jakimi dysponują MŚP, uznano, że w ich przypadku proporcjonalne będzie stosowanie formatu, który stanowi mniejsze obciążenie administracyjne w porównaniu z formatem list osób mających dostęp do informacji poufnych sporządzanych zgodnie z art. 18 ust. 1 lit. a) rozporządzenia (UE) nr 596/2014, oraz ograniczenie zawartości przedmiotowych list do tego, co jest absolutnie niezbędne do identyfikacji odpowiednich osób fizycznych. Rezygnacja z wymogu ujmowania przez emitentów, w sporządzanych przez nich listach osób mających dostęp do informacji poufnych, prywatnych danych kontaktowych tych osób powinna stanowić dla emitentów ułatwienie w gromadzeniu i aktualizowaniu danych tych osób, a jednocześnie nie pozbawia właściwych organów krajowych narzędzia umożliwiającego identyfikację osób przetwarzających informacje poufne i skontaktowanie się z nimi przy wykorzystaniu służbowych danych kontaktowych.”.

^[1] Dz. U. UE z dnia 14.07.2022 r., L 187/23.

^[2]Dz. U. UE z dnia 11.12.2019 r., L 320/1.

^[3] Dz. U. UE z dnia 11.03.2016 r., L 65/49.

^[4] Zob. także FCA Market Watch nr 58/2018 – „Each time new inside information is identified, a new section should be added to the insider list. Each section should contain details of everyone who has access to that inside information who are working for the issuer under a contract of employment, or otherwise performing tasks through which they have access to the inside information. Issuers are obliged to take reasonable steps to ensure that those on the list with access to inside information acknowledge their duties and are aware of the sanctions for insider dealing and the unlawful disclosure of inside information”.

^[5] Art. 72 ust. 1 („przechowywanie danych”) Rozporządzenia Delegowanego Komisji (UE) 2017/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy (Dz. U. UE z dnia 31.03.2017 r., L 87/1): „Zapisy przechowywane są na nośniku, który pozwala na przechowywanie informacji do przyszłego wglądu właściwego organu, oraz w takiej formie i w taki sposób, aby spełnione były następujące warunki: a) właściwy organ ma możliwość uzyskania w każdej chwili dostępu do zapisów i odtworzenia każdego istotnego etapu każdej transakcji; b) istnieje możliwość łatwego sprawdzenia wszelkich poprawek lub innych zmian, a także odtworzenia zawartości zapisów przed wprowadzeniem do nich poprawek czy zmian; c) zapisy nie są przedmiotem innych manipulacji i zmian; d) istnieje możliwość przetwarzania przy użyciu środków informatycznych lub innych wydajnych metod w przypadku, gdy łatwe przeprowadzenie analizy danych nie jest możliwe ze względu na ich wielkość i charakter; oraz e) rozwiązania firmowe są zgodne z wymogami prowadzenia rejestrów niezależnie od wykorzystanej technologii.”

^[6] Np. Lista osób posiadających dostęp do informacji poufnej „XYZ” (np. wskazanie nazwy projektu – zob. Thomson Reuters Practical Law, GC100: Listing Part Rules Guidelines II: Guidelines on the requirement to maintain insider lists, Appendix 3: Memorandum on inside information) o nr 1/2022 z dnia 25 lipca 2022 r. Zob. także „In some cases large numbers of support staff having access to documents containing inside information rather than access being restricted to those who need inside information for the proper fulfilment of their role. Reasonable steps in the FCA’s view would be to grant IT staff access only to anonymised or code-named folders for maintenance or permission purposes and not to files within those folders.” – Market Abuse Regulation (“MAR”) round-up August 2019: what the FCA expects, Market Abuse Regulation (“MAR”) round-up August 2019: what the FCA expects | Charles Russell Speechlys.

^[7] O motywach zob. Wspólny przewodnik praktyczny Parlamentu Europejskiego, Rady i Komisji przeznaczony dla osób redagujących akty prawne Unii Europejskiej.

^[8] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE z dnia 04.05.2016 r., L 119/1.

Czy w praktyce banków, występuje outsourcing „marowski”?

Zagadnienia ogólne

Ile w praktyce banków w Polsce, na potrzeby niniejszych rozważań rozumianych przez pryzmat rynku finansowego, czyli banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, wyróżniamy „rodzajów” outsourcingu?

Na pierwszy rzut oka wydawać by się mogło, że mówimy o dwóch, względnie trzech „rodzajach” outsourcingu dla działalności banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi. W niniejszym krótkim opracowaniu postaram się jednak udowodnić, że de facto mówimy o czterech „rodzajach” takiego outsourcingu.

Rynek bankowy, jak każda inna branża, charakteryzuje się również branżowym słownictwem, mówimy zatem potocznie o tzw. outsourcingu bankowym[1], outsourcingu inwestycyjnym[2] czy outsourcingu chmurowym[3]. Uważam jednak, że w praktyce banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi możemy się spotkać także z outsourcingiem „marowskim” (na marginesie warto wskazać, że w praktyce banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, jeden system bądź aplikacja może wspierać tak wiele różnych procesów w banku, że znajdą zastosowanie przepisy w zakresie outsourcingu bankowego, outsourcingu inwestycyjnego czy komunikat w sprawie outsourcingu chmurowego). Ze względu na fakt, że wszystkie ww. trzy „rodzaje” outsourcingu wydają się być dobrze znane oraz opisane w literaturze, skupię się na outsourcingu „marowskim”, z odniesieniem do odpowiednich rodzajów outsourcingu o ile to będzie konieczne.

Outsourcing „marowski”

W systemie MAR[4] ustanawiany jest system, zwany potocznie z ang. trade surveillance. System tzw. „trade surveillance” został ustanowiony w art. 16 MAR – „Zapobieganie nadużyciom na rynku i ich wykrywanie”. Zgodnie z art. 16 ust. 2 MAR każda osoba zawodowo zajmująca się pośredniczeniem w zawieraniu transakcji lub wykonywaniu zleceń ustanawia i utrzymuje skuteczne rozwiązania, systemy i procedury wykrywania i powiadamiania o podejrzanych zleceniach i transakcjach. Jeżeli osoba ta poweźmie uzasadnione podejrzenie, że zlecenie lub transakcja dotycząca jakiegokolwiek instrumentu finansowego może stanowić wykorzystywanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych lub manipulacji na rynku, bez względu na to, czy takie zlecenie złożono lub taką transakcję wykonano w ramach systemu obrotu, czy poza nim, niezwłocznie powiadamia właściwy organ[5].

Dodatkowe wskazówki znaleźć można w przepisach Rozporządzenia Delegowanego Komisji (UE) 2016/957 z dnia 9 marca 2016 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 w odniesieniu do regulacyjnych standardów technicznych dotyczących właściwych rozwiązań, systemów i procedur oraz formularzy powiadomienia stosowanych w celu zapobiegania praktykom stanowiącym nadużycie lub podejrzanym zleceniom i transakcjom, ich wykrywania i zgłaszania[6].

Zgodnie zatem z art. 2 ust. 1 wskazanego Rozporządzenia osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń ustanawiają i utrzymują rozwiązania, systemy i procedury, które zapewniają skuteczne i ciągłe monitorowanie – do celów wykrywania i identyfikacji zleceń i transakcji, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku – wszystkich otrzymanych i przesłanych zleceń oraz wszystkich wykonanych transakcji oraz przesyłanie zgłoszeń STOR właściwym organom zgodnie z wymaganiami określonymi w wskazanym Rozporządzeniu.

Warto w tym miejscu zauważyć, że banki, o których mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi są traktowane na potrzeby systemu MAR także jako osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń, przy czym druga definicja jest o tyle szersza, że mieści w sobie także firmy inwestycyjne.

Zgodnie zatem z art. 3 ust. 1 wskazanego Rozporządzenia rozwiązania, systemy i procedury umożliwiają analizę, indywidualną i porównawczą, wszelkich wykonanych transakcji oraz złożonych, zmienionych, anulowanych lub odrzuconych zleceń, przeprowadzonych w ramach podsystemów systemu obrotu oraz, w przypadku osób zawodowo pośredniczących w zawieraniu transakcji lub wykonywaniu zleceń, również poza systemem obrotu, generują ostrzeżenia wskazujące na aktywność wymagającą dalszej analizy do celów wykrywania potencjalnego wykorzystywania informacji poufnych, manipulacji na rynku lub usiłowania wykorzystania informacji poufnych bądź manipulacji na rynku oraz obejmują pełen zakres działalności handlowej podejmowanej przez osoby, których to dotyczy.

Zgodnie z art. 3 ust. 3 wskazanego Rozporządzenia operatorzy rynku i firmy inwestycyjne prowadzące system obrotu, w stopniu, w jakim jest to odpowiednie i proporcjonalne w stosunku do skali, wielkości i charakteru ich działalności gospodarczej, stosują systemy oprogramowania i dysponują procedurami, które pomagają w zapobieganiu wykorzystywaniu informacji poufnych, manipulacjom na rynku i usiłowaniu wykorzystania informacji poufnych bądź manipulacji na rynku oraz w wykrywaniu tych czynności, zaś systemy i procedury, o których mowa powyżej, obejmują oprogramowanie umożliwiające opóźniony odczyt automatyczny oraz odtwarzanie i analizę danych arkusza zleceń, a oprogramowanie to musi mieć wystarczającą zdolność działania w środowisku handlu algorytmicznego.

Dodatkowo zgodnie z, odpowiednio, art. 3 ust. 4 i 5 wskazanego Rozporządzenia, osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń, operatorzy rynku i firmy inwestycyjne prowadzące system obrotu wprowadzają i utrzymują rozwiązania i procedury, które zapewniają odpowiedni poziom analizy dokonywanej przez człowieka[7] w ramach monitorowania, wykrywania i identyfikacji transakcji i zleceń, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku oraz wprowadzają i utrzymują rozwiązania i procedury, które zapewniają odpowiedni poziom analizy dokonywanej przez człowieka również w ramach zapobiegania wykorzystywaniu informacji poufnych, manipulacjom na rynku lub usiłowaniu wykorzystania informacji poufnych bądź manipulacji na rynku.

Graficznie zatem wskazane procesy można by opisać w sposób następujący:

Co ciekawe na gruncie art. 3 ust. 7 wskazanego Rozporządzenia osoba zawodowo pośrednicząca w zawieraniu transakcji lub wykonywaniu zleceń (a więc i bank, o którym mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi) może, na mocy pisemnej umowy, przekazać osobie trzeciej („usługodawcy”) przeprowadzanie analizy danych, w tym danych dotyczących zleceń i transakcji, i generowanie ostrzeżeń niezbędnych tejże osobie do prowadzenia monitorowania, wykrywania i identyfikacji zleceń i transakcji, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku.

Oznacza to, że bank, o którym mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi może powierzyć innemu przedsiębiorcy wykonywanie analiz z zakresu trade surveillance (np. zakupić właściwe oprogramowanie analityczne, zapewniające pierwszy poziom analiz, zgodnie z grafiką powyżej).

Dodatkowo zgodnie z tym samym artykułem, zdanie drugie osoba przekazująca te funkcje (a więc i bank, o którym mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi) pozostaje w pełni odpowiedzialna za wywiązanie się ze wszystkich obowiązków spoczywających na niej na mocy omawianego Rozporządzenia i art. 16 MAR i spełnia przez cały czas następujące warunki:

w sposób ciągły zachowuje wiedzę specjalistyczną i zasoby niezbędne do oceny jakości świadczonych usług oraz adekwatności organizacyjnej usługodawców, do nadzoru nad przekazanymi usługami i do zarządzania rodzajami ryzyka związanego z przekazaniem tych funkcji;
ma bezpośredni dostęp do wszystkich istotnych informacji odnoszących się do analizy danych i generowania ostrzeżeń.

Co więcej umowa pisemna zawiera opis praw i obowiązków osoby przekazującej funkcje, o której mowa w akapicie pierwszym, oraz praw i obowiązków usługodawcy. Określa się w niej również powody, które umożliwiają osobie przekazującej wspomniane funkcje rozwiązanie takiej umowy.

Wydaje się zatem, że mówimy o odrębnym, od wcześniej powoływanych „rodzaju” outsourcingu – outsourcingu „marowskim”. Nie oznacza to rzecz jasna, że dany system czy właściwe oprogramowanie analityczne, zapewniające pierwszy poziom analiz (zgodnie z grafiką powyżej) nie będzie jednocześnie mógł być traktowany jako outsourcing bankowy, outsourcing inwestycyjny czy, jeśli zajdą właściwe przesłanki wskazane w Komunikacie UKNF dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 233 stycznia 2020 r., także outsourcing chmurowy.

Jednakże, co wydaje się być istotne, sam outsourcing „marowski” nie wiąże się poza wskazanymi wyżej obowiązkami, z notyfikacją czy zgodą właściwego organu nadzoru oraz aż tak restrykcyjnymi, jak np. dla outsourcingu inwestycyjnego, wymogami co do umowy z dostawcą etc.

[1] Na podstawie ustawy z dnia 29 sierpnia 1997 prawo bankowe, Dz.U.2021.2439 t.j. z dnia 2021.12.28.

[2] Na podstawie przepisów ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz.U.2022.861 t.j. z dnia 2022.04.21) oraz przepisów Rozporządzenia Delegowanego Komisji (UE) 2018/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy (Dziennik Urzędowy Unii Europejskiej z dnia 31.03.2017 r., L 87/1).

[3] Na podstawie Komunikatu Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 23 stycznia 2020 r., https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf [dostęp: lipiec 2022 r.].

[4] Dyrektywa Parlamentu Europejskiego i Rady 2014/57/UE z dnia 16 kwietnia 2014 r. w sprawie sankcji karnych za nadużycia na rynku (dyrektywa w sprawie nadużyć na rynku) (Dziennik Urzędowy Unii Europejskiej z dnia 12.06.2014 r., L 173/179) oraz Rozporządzenie Parlamentu Europejskiego i Rady dnia 16 kwietnia 2014 r. w sprawie nadużyć na rynku (rozporządzenie w sprawie nadużyć na rynku) oraz uchylające dyrektywę 2003/6/WE Parlamentu Europejskiego i Rady i dyrektywy Komisji 2003/124/WE, 2003/125/WE i 2004/72/WE (Dziennik Urzędowy Unii Europejskiej z dnia 12.06.2014 r., L 173/1 ze zm.).

[5] Zob. więcej G. Włodarczyk, System trade surveillance dla osób zawodowo zajmujących się pośredniczeniem w zawieraniu transakcji lub wykonywaniu zleceń – wprowadzenie, Compliance&MiFID (2016 r.) https://compliancemifid.files.wordpress.com/2021/05/trade-surveillance-pod-mar-dla-osob-zawodowo-zajmujacych-sie-posredniczeniem-w-zawieraniu-transakcji-lub-wykonywaniu-zlecen-e28093-czesc-pierwsza-wprowadzenie.pdf [dostęp: lipiec 2022 r.] oraz G. Włodarczyk, Trade surveillance (pod MAR) – okoliczności wskazujące na zachowania manipulacyjne związane z wprowadzaniem w błąd oraz utrzymaniem cen – część pierwsza, Compliance&MiFID (2016 r.) https://compliancemifid.files.wordpress.com/2021/05/trade-surveillance-pod-mar-dla-osob-zawodowo-zajmujacych-sie-posredniczeniem-w-zawieraniu-transakcji-lub-wykonywaniu-zlecen-e28093-czesc-pierwsza-wprowadzenie.pdf [dostęp: lipiec 2022 r.].

[6] Dziennik Urzędowy Unii Europejskiej z dnia 17 czerwca 2016 r., L 160/1.

[7] Przyjmuje się, choć nie wynika to z systemu MAR, że zadania takie wykonuje zwyczajowo funkcja compliance, ze względu na fakt, że ustanowienia systemów trade surveillance w obszarze I-ej linii obrony, jednostek zawierających transakcje na instrumentach finansowych może budzić uzasadnione wątpliwości („Nemo iudex in causa sua”).