Wróć do bloga
14 maja 2024Maja Góral-Pawelczyk, Radca Prawny

Wdrożenie DORA w Polsce cz. II- Jakie kary czekają tych, którzy się nie dostosują?

Zgodnie z Rozporządzeniem (UE) 2022/2554 (DORA) – Państwowy organ nadzoru ma uprawnienie do nałożenia tzw. Okresowych kar pieniężnych za niedostosowanie się do DORA, a ponadto państwa członkowskie określają przepisy ustanawiające właściwe kary administracyjne i środki naprawcze w odniesieniu do naruszeń rozporządzenia i zapewniają ich skuteczne stosowanie. Te sankcje i środki muszą być skuteczne, proporcjonalne i odstraszające.

Państwa członkowskie mogą zadecydować o nieustanowieniu przepisów dotyczących kar administracyjnych lub środków naprawczych w odniesieniu do naruszeń, które podlegają sankcjom karnym na podstawie ich prawa krajowego (art. 52 DORA) 

  • Okresowa kara pieniężna (art. 31 ust. 6 – 11 DORA) 


Za co: za całkowite lub częściowe niezastosowania się do środków, które należy podjąć w związku z wykonaniem uprawnień, takich jak: przekazanie informacji, umożliwienie przeprowadzenia dochodzeń i kontroli, złożenie sprawozdań. Kara pieniężna może być nałożona za niezachowania zgodności z określonymi w DORA wymaganiami, a także gdy kluczowy dostawca – w odpowiedzi na wezwanie – udzieli organowi nadzoru niekompletnej informacji lub gdy nie podda się kontroli organu nadzoru

Kiedy: po upływie co najmniej 30 dni kalendarzowych od dnia, w którym kluczowy zewnętrzny dostawca usług ICT otrzymał powiadomienie o odpowiednich środkach

Wysokość: naliczana od dnia określonego w decyzji nakładającej okresową karę pieniężną, wynosi maksymalnie 1 % średniego dziennego światowego obrotu kluczowego zewnętrznego dostawcy usług ICT w poprzedzającym roku obrotowym. Ustalając kwoty okresowej kary pieniężnej, wiodący organ nadzorczy bierze pod uwagę następujące kryteria dotyczące niezastosowania się do środków, o których mowa w ust. 6:
a) wagę tego niezastosowania się i czas jego trwania;
b) kwestię, czy niezastosowanie się jest wynikiem działania umyślnego lub zaniedbania;
c) poziom współpracy zewnętrznego dostawcy usług z wiodącym organem nadzorczym (art. 35 ust.8 DORA).

Okresowa kara pieniężna jest nakładana za każdy dzień do czasu zastosowania się do środków i nie dłużej niż przez sześć miesięcy po powiadomieniu kluczowego zewnętrznego dostawcy usług ICT o decyzji nakładającej tę karę.

  • Kary administracyjne lub środki naprawcze

Zgodnie z DORA państwa członkowskie określają przepisy ustanawiające właściwe kary administracyjne i środki naprawcze w odniesieniu do naruszeń niniejszego rozporządzenia i zapewniają ich skuteczne stosowanie. Te sankcje i środki muszą być skuteczne, proporcjonalne i odstraszające.

Państwa członkowskie mogą zadecydować o nieustanowieniu przepisów dotyczących kar administracyjnych lub środków naprawczych w odniesieniu do naruszeń, które podlegają sankcjom karnym na podstawie ich prawa krajowego (art. 52 DORA)

Kary proponowane w projekcie polskiej ustawie zmieniającej ustawy z zakresu sektora finansowego:

Kary za niestosowanie przepisów DORA mają zostać zawarte w zmienionej ustawie o nadzorze nad rynkiem finansowym i będą zawierać m.in następujące sankcje:

Za niewykonanie zalecenia organu – decyzję o tymczasowym zawieszeniu korzystania z zewnętrznego dostawcy usług.
Za naruszenie niektórych obowiązków dotyczących zarządzania ryzykiem w związku z ICT – decyzje o:

1) nakazaniu osobie fizycznej, osobie prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej zaprzestanie danego zachowania oraz powstrzymanie się od takiego zachowania w przyszłości;
2) zakazaniu pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej danego podmiotu, przez okres nie krótszy niż miesiąc i nie dłuższy niż rok – osobie kierującej przedsiębiorstwem, w szczególności pełniącej funkcję kierowniczą lub wchodzącej w skład organu zarządzającego przedsiębiorcy, która w ramach sprawowania swojej funkcji, w czasie trwania stwierdzonego naruszenia tych przepisów, dopuściła przez swoje działanie lub zaniechanie do naruszenia,
3) nałożeniu kary pieniężnej do wysokości nieprzekraczającej:
a) w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej:
– kwoty do  20 869 500 zł lub 10% przychodów netto ze sprzedaży towarów i usług oraz operacji finansowych, a w przypadku zakładu ubezpieczeń lub zakładu
reasekuracji – 10% składki przypisanej brutto, wykazanych w ostatnim sprawozdaniu finansowym za rok obrotowy, zatwierdzonym przez organ zatwierdzający, albo
dwukrotności kwoty korzyści uzyskanych lub strat unikniętych w wyniku tego naruszenia – w przypadku gdy jest możliwe ich ustalenie,
b) w przypadku osoby fizycznej, w tym odpowiedzialnej za to naruszenie, która w tym okresie pełniła obowiązki członka zarządu tego podmiotu – kwoty 3 042 410 zł.

W przypadku naruszenia przepisów DORA – KNF może wydać publiczne oświadczenie, w którym wskaże imię i nazwisko osoby fizycznej albo firmę lub nazwę osoby prawnej lub jednostki nieposiadającej osobowości prawnej, odpowiedzialnych za naruszenie, oraz charakter tego naruszenia.

 

*W przypadku gdy osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej jest jednostką dominującą albo jednostką zależną jednostki dominującej, która ma obowiązek sporządzać skonsolidowane sprawozdania finansowe, karę pieniężną ustala się na podstawie przychodów netto ze sprzedaży towarów i usług oraz operacji finansowych, a w przypadku zakładu ubezpieczeń i zakładu reasekuracji – składki przypisanej brutto, wykazanych w ostatnim rocznym skonsolidowanym sprawozdaniu finansowym zatwierdzonym przez organ zatwierdzający jednostki dominującej.