21. 3. 2019
ID: 109048upozornění pro uživatele

Regulatory sandbox: možnosti a meze nástroje pro chytrou regulaci

I v českém prostředí se začíná hovořit o institutu tzv. regulatory sandboxu.[1] Tímto pojmem, jehož český ekvivalent dosud nebyl zaveden[2], se rozumí procesní nástroj sloužící k efektivnímu uplatňování regulatorních požadavků především v silně regulovaných oblastech, jako je finanční sektor, při vývoji nových aplikací či služeb. Tento nástroj již několik let využívá britský regulátor finančního trhu Financial Conduct Authority[3], a ke spuštění se rovněž chystá britský dozorový orgán pro ochranu osobních údajů, Information Commissioner's Office.

S regulatory sandboxem se však můžeme setkat i v některých dalších evropských i mimoevropských státech, opět zejména, byť nikoliv výlučně, u regulátorů finančního sektoru.[4] Rovněž evropské dozorové orgány finančního trhu v lednu tohoto roku vydaly společné stanovisko k tomu, jakým způsobem tzv. regulatorní sandbox a některé další nástroje mohou přispět k rozvoji inovativních řešení.[5]

Cílem následujícího článku je stručně popsat, co se vlastně pod pojmem regulatory sandbox skrývá, jak daný nástroj v praxi funguje nebo by měl či mohl fungovat a jaké jsou jeho výhody pro všechny dotčené subjekty. V dalších částech pak stručně nastíním některé základní právní otázky, které se s regulatory sandboxem pojí, a pokusím se shrnout, ve kterých oblastech má podle mého názoru tento koncept smysl, za jakých podmínek a u kterých veřejnoprávních regulací je jeho možný dopad spíše omezený.

Co je to regulatory sandbox?

V tuto chvíli zřejmě neexistuje jednotně přijímaná definice pojmu regulatory sandbox. Z těch nejčastěji používaných lze shrnout, že se jedná o speciální prostředí (režim), ve kterém mohou soukromé společnosti v přímé interakci s regulátorem či dozorovým úřadem a pod jeho kontrolou testovat nové produkty či obchodní modely v reálném prostředí se skutečnými klienty, a to s omezenou či dočasně vyloučenou aplikací některých veřejnoprávních pravidel.

Nejedná se tedy o databázi či prostor ve fyzickém slova smyslu, ale o proces, specifický přístup k zavádění nových služeb zejména v regulovaném prostředí.

Regulatory sandbox musíme rovněž odlišit od některých zčásti obdobných nástrojů či konceptů pro vývoj nových produktů.

  • Interní testovací prostředí se od regulatory sandboxu odlišuje právě tím, že nová aplikace či služba je testována v prostředí daného subjektu, na testovacích datech a bez přímé interakce s kýmkoliv dalším (uživatelem, regulátorem)
  • Průmyslový (sektorový) sandbox je koncept mířící ke spolupráci soukromých společností při přípravě nového produktu nebo jeho prototypu ve společně využívaném testovacím prostředí bez skutečných zákazníků.
  • Innovation Hub označuje jednotné kontaktní místo, kde mohou regulované subjekty od příslušného regulátora získat nezávazné doporučení či vyjádření k novému produktu nebo službě.
Regulatory sandbox se od těchto konceptů odlišuje právě přímou interakcí s koncovými uživateli. To z podstaty věci klade výrazně vyšší nároky na přípravu daného inovativního řešení a kontrolu toho, jak na skutečném trhu funguje.

Pokusme se tuto definici demonstrovat na stylizovaném příkladu: Inovativní společnost vyvíjí nový nástroj pro online identifikaci uživatelů při zprostředkování mikroúvěrů sjednaných na dálku, bez fyzické přítomnosti klienta na obchodním místě poskytovatele či zprostředkovatele úvěru. Takováto služba musí plnit řadu právních požadavků, ať už pro náležitosti identifikace daného spotřebitele, posouzení jeho úvěruschopnosti, poskytnutí relevantních informací o podmínkách úvěru či ochrany jeho osobních údajů. Před plnohodnotným uvedením aplikace na trh ji daná společnost nasadí pouze v omezeném rozsahu (omezeném ve smyslu času, poskytovaných služeb a výše nabízených půjček) a v neustálé interakci s regulátorem hodnotí, jak aplikace funguje a zda v plném rozsahu plní veškeré právní požadavky, které plnit má. Pokud zjistí, že nikoliv, danou chybu bezprostředně odstraní. Výstupem pak je vyjádření regulátora, zda daná služba splňuje veškeré právní a regulatorní požadavky nebo jaké úpravy či úpravy ve kterých oblastech musí být provedeny, aby služba mohla být nasazena, stejně jako posouzení, za jakých podmínek, například pod jakou licencí, může být plnohodnotně provozována.

Některé aspekty regulatory sandboxu se samozřejmě liší v jednotlivých státech i v jednotlivých odvětvích. Tyto rozdíly se mohou týkat toho, kdo se může sandboxu zúčastnit (licencované subjekty, typicky na finančním trhu, či i subjekty bez licence), zda je přístup do procesu sandboxu časově omezen (někde účast konkrétních subjektů v sandboxu probíhá po určitá omezená období, jinde je sandbox koncipován jako „stále otevřený“) či například nakolik formální či závazný je výstup ze strany regulátora.

Vzhledem k omezeným kapacitám příslušných regulátorů či dozorových úřadů bývá pro přístup zájemců do regulatory sandboxu obvykle stanovena řada kritérií, která jsou u zájemců o účast přezkoumávána. Obvykle mezi ně patří zejména:

  • Inovativnost daného řešení, produktu či služby
  • Přínosy pro spotřebitele nebo pro zranitelné skupiny spotřebitelů
  • Nezbytnost či důležitost účasti v sandboxu v tom smyslu, že právě proces regulatory sandboxu může efektivně přispět k správnému nastavení produktu či služby
  • Připravenost řešení na testování v živém prostředí, zejména přijetí bezpečnostních opatření, popis souvisejících rizik a nastavení základních kontrolních mechanismů
  • Jednoznačné nastavení a zveřejnění pravidel pro ochranu práv uživatelů, zejména po ukončení účasti v regulatory sandboxu
Přínosy pro zúčastněné strany

Jaké jsou obvykle uváděné benefity pro všechny dotčené strany, tedy jak subjektu, který přichází s inovativním řešením, regulátora či dozorového úřadu a v neposlední řadě spotřebitele, potencionálního uživatele dané služby?

Z pohledu subjektu, který hodlá na trh uvést nové řešení či inovativní produkt, je zřejmě hlavním přínosem případné účasti v regulatory sandboxu posílení jeho právní jistoty. Regulace, typicky na finančním trhu, je skutečně velmi komplexní a nejistota z jejího výkladu, zejména u inovativních řešení, může pramenit právě z této složitosti souvisejícího právního rámce.

Z posílení právní jistoty pak může pro společnost připravující inovaci vyplývat snížení nákladů, zejména proto, že se může soustředit na rozvoj řešení, jehož funkčnost, resp. soulad s právní úpravou si potvrdila s regulátorem. Kromě snížení nákladů může tento aspekt rovněž vést rovněž k většímu zájmu investorů.

Z obchodního hlediska může být pro účastníka regulatory sandboxu zajímavé vyzkoušet si, zda o jeho produkt je vůbec na trhu zájem, a to ještě dříve, než bude investovat do splnění všech regulatorních požadavků.

Regulátor, či dozorový úřad obecně, může díky zavedení regulatory sandboxu získat bližší a konkrétnější vztah k praxi v jeho působnosti, nežli jen při standardním veřejnoprávním dozoru, kdy dozorované subjekty z podstaty věci nejsou tolik motivované ke spolupráci. Do určité míry, samozřejmě v závislosti na určených kapacitách, může být takový přístup i efektivnější z pohledu chráněné hodnoty (stabilita a rozvoj finančního trhu, ochrana spotřebitele, ochrana osobních údajů atd.), protože správné nastavení produktů, ať už individuálních, nebo prostřednictvím zveřejnění závěrů ze sandboxu i obecně, je efektivnější než jednotlivé dozorové akce zakončené finanční sankcí nebo nápravným opatřením. A když opustíme ryze právní oblast, zavedení regulatory sandboxu může být znamením, že určitý regulátor, případně konkrétní stát jako takový, je otevřený novým řešením, což může mít i konkrétní makroekonomický přínos.

Hledáme-li přínosy regulatory sandboxu pro spotřebitele či jiného potencionálního adresáta nové služby, můžeme jej dle mého soudu nalézt především v tom, že na trh budou rychleji vstupovat nová, inovativní řešení, a to řešení bezpečná, souladná s regulací. A jestliže jsme výše uvedli, že účast v regulatory sandboxu může pro daného inovátora představovat snížení nákladů či jiný finanční benefit, pro uživatele to může znamenat rovněž levnější službu.

A nevýhody regulatory sandboxu?

Za základní problematický bod tohoto institutu lze zřejmě označit riziko nepřiměřeného zásahu do hospodářské soutěže. Ty subjekty, které by mohly svůj nový produkt zkoušet v regulatory sandboxu v přímé interakci s regulátorem, by získaly zjevnou výhodu proti všem ostatním. Proto je, podle mého názoru, nezbytné nastavit jasná pravidla a podmínky pro umožnění přístupu do regulatory sandboxu. Otázkou také je, v jakém rozsahu by regulátor měl zveřejňovat výsledky jednotlivých účastníků, resp. svůj přístup k nim a výklad souvisejících právních předpisů, aby výstupy z regulatory sandboxu byly využitelné i pro další zájemce.

Právní otázky

První a základní právní otázkou je, zdali regulátor či dozorový úřad může k takovémuto kroku, zřízení regulatory sandboxu a případnému dočasnému omezení aplikace některých pravidel, vůbec přistoupit. Evropští regulátoři finančního trhu, konkrétně britský, dánský, nizozemský, polský a litevský, tuto možnost odvozují ze svých zákonem stanovených cílů, jako je přispívat k finanční stabilitě, podporovat důvěru ve finanční sektor a přispívat k ochraně spotřebitele. Polská národní banka rovněž odkazuje na své zákonné zmocnění k tomu, aby zajišťovala aktivity podporující inovace na finančním trhu.[6]

Můžeme obdobné zmocnění nalézt u České národní banky či dalších národních regulátorů nebo dozorových úřadů, u kterých můžeme teoreticky o nějaké formě regulatory sandboxu uvažovat?

V českém právu se s kompetencí, která by, byť při flexibilnějším výkladu, umožňovala vytvořit skutečný regulatory sandbox ve výše popsaném rozsahu, často nesetkáváme.

Role České národní banky je vymezena jako „… péče o cenovou stabilitu. Česká národní banka dále pečuje o finanční stabilitu a o bezpečné fungování finančního systému v České republice. Pokud tím není dotčen její hlavní cíl, Česká národní banka podporuje obecnou hospodářskou politiku vlády vedoucí k udržitelnému hospodářskému růstu a obecné hospodářské politiky v Evropské unii se záměrem přispět k dosažení cílů Evropské unie.“[7] Najít tam zmocnění obdobné těm výše uvedeným, by bylo podle mého názoru možné jen velmi extenzivním výkladem.

Snad trochu nadějnější je z tohoto pohledu vymezení role Energetického regulačního úřadu, v jehož působnosti je mj. „…regulace cen, podpora hospodářské soutěže v energetických odvětvích, výkon dohledu nad trhy v energetických odvětvích, podpora využívání obnovitelných a druhotných zdrojů energie, podpora kombinované výroby elektřiny a tepla, podpora biometanu, podpora decentrální výroby elektřiny a ochrana zájmů zákazníků a spotřebitelů s cílem uspokojení všech přiměřených požadavků na dodávku energií a ochrana oprávněných zájmů držitelů licencí, jejichž činnost podléhá regulaci.“[8] (Zvýraznění autor)

Naproti tomu Český telekomunikační úřad má kompetence vymezen velmi konkrétně a věcně a obdobné obecné zmocnění, které by snad bylo možné vyložit naznačeným způsobem, mezi nimi nenajdeme.[9]

Pokud se od klasických regulátorů přesuneme k dozorovým úřadům, pak například u Úřadu pro ochranu osobních údajů, jehož kompetence jsou nově vymezeny obecným nařízením o ochraně osobních údajů (GDPR)[10], několik kompetencí či vymezených úkolů takovéhoto charakteru bychom zde nalézt mohli. Nařízení například hovoří o tom, že dozorový úřad pro ochranu osobních údajů zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů a podporuje porozumění těmto otázkám[11], podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení[12] či monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií a obchodních praktik[13].

Na základě takto vymezených úkolů a ve spojení s § 154 a násl. správního řádu[14], který upravuje méně formální postupy správních úřadů, by podle mého názoru nějaký typ regulatory sandboxu Úřad pro ochranu osobních údajů zřídit mohl.

Naopak typicky u České národní banky či Českého telekomunikačního úřadu by taková aktivita zjevně byla podmíněna změnou příslušných předpisů, resp. kompetencí uvedených úřadů.

Neméně důležitou je otázka licencí. U těch činností, při kterých stát spatřuje zvláště závažný důvod pro větší kontrolu nad příslušným trhem, je účast na trhu podmíněna získáním licence. Příkladem může být poskytování platebních služeb nebo výroba či přenos energií. Připuštění na daný trh subjektu, který příslušnou licencí nedisponuje, byť pouze v omezeném rozsahu v rámci regulatory sandboxu, je v zásadě nepřijatelné. Jedinou možností by podle mého názoru bylo výslovné a zcela konkrétní zákonné zmocnění, které však v českém právu nenajdeme.

Obdobně jako u licencí existuje i řada dalších průřezových úprav, jejichž vyloučení je i v rámci testovacího provozu vyloučeno. Jako typický příklad můžeme jmenovat povinnost identifikace či kontroly klienta při poskytování finančních služeb, která českým subjektům uložena zákonem č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu. Dočasné omezení těchto povinností by totiž vedlo k tomu, že by se do finančního systému mohly dostat nedostatečně identifikované subjekty, např. by si založily běžný účet v bance, nicméně ostatní účastníci finančního trhu by je za ověřené a nerizikové klienty považovali. Důsledky by tak zasáhly nejenom jednoho poskytovatele finančních služeb, ale v zásadě celý český, resp. evropský systém.

Dlužno také dodat, že požadavky na umožnění výkonu některých činností pouze licencovaným subjektům, stejně jako řady průřezových regulací (boj proti praní špinavých peněz, kybernetická bezpečnost) velmi často vycházejí z předpisů Evropské unie. Jejich případné omezení v rámci regulatory sandboxu tak není v diskreci členských států či jejich úřadů, ale tato možnost by musela být zakotvena již v daných unijních předpisech jako takových.

Neméně důležitým právním aspektem je rovněž soukromoprávní otázka, zda při testování nového produktu vznikají právní vztahy, např. smlouvy, a s jakými důsledky pro zúčastněné klienty. Výstupem z regulatory sandbox procesu totiž může být konstatování regulátora či dozorového úřadu, že daný produkt nebo služba neodpovídá všem právním požadavkům či že pro její poskytování je potřebné splnění dalších podmínek, např. licence. Stejně tak samotný účastník sandboxu může svoji účast předčasně ukončit nebo se rozhodnout, že testovaný produkt na trh neuvede. V úvahu přichází typické nástroje občanského práva, jako je odkládací či rozvazovací podmínka, či relativní neplatnost smlouvy. Za klíčové je však podle mého soudu předem a jednoznačně o těchto aspektech případné účastníky regulatory sandboxu na zákaznické straně vyrozumět.

Kde se může regulatory sandbox uplatnit, aneb hrozba Hlavy XXII


Veřejnoprávní úřady z pohledu tématiky našeho článku můžeme rozdělit do dvou kategorií, a to na regulátory a na dozorové úřady. Regulátora lze s velkou mírou zjednodušení popsat jako takový úřad, který určuje obvykle velmi detailní podmínky pro výkon činnosti na konkrétním (regulovaném trhu), uděluje k němu licence a vykonává dohled nad plněním právních povinností. Dozorovým úřadem naproti tomu můžeme rozumět takový subjekt, který vykonává pouze veřejnoprávní dozor nad určitou průřezovou oblastí, tedy nikoliv na jednom specifickém trhu nebo při poskytování vymezeného druhu služeb. Regulátorem v tomto smyslu tak jistě je Česká národní banka nebo Energetický regulační úřad, dozorovým úřadem kupříkladu Úřad pro ochranu osobních údajů nebo Státní úřad inspekce práce.

Testování inovativního produktu nebo služby má s ohledem na výše uvedené benefity a další aspekty význam především v silně regulované prostředí, ve kterém ostatně v zahraničí regulatory sandboxy prakticky bez výjimky fungují. Výstupem pak může být detailní posouzení jednotlivých prvků a jejich souladu s regulatorními požadavky včetně zhodnocení, zda je k jeho plnohodnotnému nasazení zapotřebí licence, případně zda postačí licence, kterou již nyní daný inovátor disponuje.[15] Rizikem, resp. obtížně řešitelným problémem, však je, že připuštění jakéhokoliv subjektu na takto regulovaný trh je nutně podmíněno držením příslušné licence a plněním i dalších povinností, například v oblasti boje proti legalizaci výnosů z trestné činnosti a financování terorismu. Jinak řečeno, pokud chci jako inovativní společnost v rámci regulatory sandboxu zjistit, zda pro mnou vyvíjený produkt a jeho uvedení na trh potřebuji licenci, je nezbytné, abych k tomu předem disponoval příslušnou licencí.

Na druhé straně, pokud by regulatory sandbox zavedl dozorový úřad, jako se k tomu chystá například britský úřad pro ochranu osobních údajů, výstupem podle mého názoru může být nejvýše nezávazné vyjádření či mírně pokročilá konzultace. Právní úprava pro zpracování osobních údajů je tzv. technologicky neutrální a uplatní se prakticky ve všech oblastech lidské činnosti. Formulovat tedy nějaký jednoznačný závěr, zda určitý nástroj pro zpracování dat je či není v souladu s právními požadavky, bude možné jen v omezeném rozsahu a navíc s tím, že výsledek může být odlišný při aplikaci daného nástroje v různých oblastech s odlišným právním režimem.

Závěr

Institut tzv. regulatory sandboxu zřejmě může být jedním z nástrojů, jako čelit komplexní a detailní veřejnoprávní úpravě. Podle mého názoru se jako více koncepční jeví ve vysoce regulovaných prostředích, kde může být výstup z regulatory sandboxu konkrétní a jednoznačný. Právě v těchto prostředcích však narážíme na striktní regulaci, od které se regulátoři obvykle nemohou odklonit. Zavedení regulatory sandoboxu v plném rozsahu by tak, minimálně v kontextu Evropské unie, muselo předcházet výslovné právní zmocnění pro příslušné regulátory či úprava tohoto institutu jako celku. Do té doby můžeme diskutovat nejvýše o některých aspektech či přístupech spojovaných s regulatory sandboxem nebo o nějaké jeho méně pokročilé verzi v rámci průřezových veřejnoprávních úprav.

Nonnemann
Mgr. František Nonnemann,

Autor je zaměstnancem MONETA Money Bank, a.s. Článek vyjadřuje osobní názor autora, nikoliv jeho zaměstnavatele.

______________________
[1] Za zmínku stojí především veřejná diskuse na toto téma se zástupci britského finančního regulátora, Financial Conduct Authority. kterou dne 22. listopadu 2018 uspořádala Česká fintech asociace.
[2] Doslovný překlad zní regulatorní pískoviště, ale je otázkou, zdali jej vůbec zavádět a nepřejmout raději anglický termín. Autor tohoto článku se kloní spíše k převzetí pojmu regulatory sandbox.
[3] Bližší informace, včetně popisu takto testovaných služeb, k dispozici >>> zde.
[4] Například v Dánsku či Nizozemí tento koncept používají místní centrální banky, stejně jako finanční regulátoři v Kanadě, Austrálii či Singapuru. Za zmínku však stojí i využití tohoto konceptu v dalších sektorech, například u regulátora trhu s energiemi v Singapuru.
[5] Jedná se Evropský orgánu pro bankovnictví (EBA), Evropský orgán pro cenné papíry a trhy (ESMA) a Evropský orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA). Jejich společné stanovisko je k dispozici >>> zde.
[6] Citováno dle společného stanoviska evropských dozorových orgánů k dispozici >>> zde.
[7] § 2 odst. 1 zákona č. 6/1993 Sb., o České národní bance.
[8] § 17 odst. 4 zákona č. 458/2000 Sb., o podmínkách podnikání a o výkonu státní správy v energetických odvětvích a o změně některých zákonů (energetický zákon).
[9] § 108 odst. 1 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).
[10]  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[11] Čl. 57 odst. 1 písm. b) obecného nařízení.
[12] Čl. 57 odst. 1 písm. d) obecného nařízení.
[13] Čl. 57 odst. 1 písm. i) obecného nařízení.
[14] Zákon č. 500/2004 Sb., správní řád.
[15] V oblasti finanční regulace přichází v úvahu zejména licence pro poskytovatele platebních služeb malého rozsahu (§ 58 a dále zákona č. 370/2017 Sb., o platebním styku) či licence pro vydavatele elektronických peněz malého rozsahu (§ 99 a dále stejného předpisu). S touto licencí lze některé služby na finančním trhu poskytovat a u těch inovací, které by dle prvotního posouzení byly na pomezí této omezené licence a licence standardní (poskytovatel platebních služeb, instituce elektronických peněz) lze teoreticky o posouzení v rámci regulátory sandboxu uvažovat.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz