Autor: Wojciech Kapica

Podejście oparte na analizie ryzyka (RBA) w systemie prawa polskiego – ramy prawne, wyzwania i postulaty de lege ferenda

Streszczenie. Publikacja omawia podejście oparte na analizie ryzyka (RBA) w polskim systemie prawnym, wskazując jego podstawy normatywne, zasady stosowania i konstytucyjne ograniczenia. Autor analizuje kluczowe problemy związane z brakiem jednolitych kryteriów, transparentności oraz możliwości weryfikacji decyzji administracyjnych opartych na RBA. Tekst zawiera również postulaty de lege ferenda, które mogą stanowić punkt wyjścia do dyskusji o potrzebie reformy stosowania RBA w administracji publicznej.

Wprowadzenie. Podejście oparte na analizie ryzyka (risk-based approach, RBA) to podejście stosowane w różnych dziedzinach prawa, w tym w prawie administracyjnym, które koncentruje się na ocenie ryzyka i w konsekwencji stosowaniu środków adekwatnych do tego, zidentyfikowanego ryzyka. Stosują je instytucje finansowe, organy nadzoru, a także administratorzy danych osobowych. RBA w swym fundamentalnym założeniu ma zwiększyć efektywność działania organizacji, ograniczyć koszty operacyjne oraz przyczynić się do lepszej alokacji zasobów dedykowanych wypełnianiu wymogów regulacyjnych poprzez przyjęcie optyki, w której reakcja ma być proporcjonalna do zidentyfikowanego ryzyka. Jednocześnie jednak jest nośnikiem ryzyka naruszenia zasady pewności prawa, równości wobec prawa oraz legalizmu, zwłaszcza w sytuacjach braku przejrzystości kryteriów oceny ryzyka. W polskim porządku prawnym stosowanie RBA wymaga zgodności z zasadami wykładni prawa oraz z zasadami konstytucyjnymi.

Każda regulacja oparta na ryzyku stwarza nowe zagrożenia, które muszą zostać uwzględnione w ogólnym systemie prawnym. Ryzyka te mogą być strukturalne, takie jak nadmierna złożoność prawa, niepewność prawna, problemy z koordynacją, jednolitość, koszty transakcji i zgodności lub nadużycia.

RBA w kontynentalnych systemach prawa. W kontynentalnych systemach prawnych (takich jak Polska, Niemcy czy Francja), stosowanie podejścia opartego na analizie ryzyka (risk-based approach, RBA) rodzi szereg problemów systemowych i dogmatycznych. Wynikają one z kolizji elastycznego, pragmatycznego charakteru RBA z podstawowymi cechami prawa stanowionego i jego wykładni. Kluczowe wyzwania w tym zakresie to:

  • Kolizja z zasadą legalizmu. W systemach prawa stanowionego (civil law) organy administracji mogą działać wyłącznie na podstawie i w granicach prawa (zasada legalizmu). RBA zakłada elastyczność i uznaniowość w ocenie ryzyka, co może prowadzić do działań nie wprost opartych na przepisach. Organy działające na podstawie i w granicach prawa (nulla poena sine lege) nie zawsze mają ustawowe umocowanie do elastycznego różnicowania wymogów wobec podmiotów o różnym profilu ryzyka. Jeśli ustawodawca nie określi precyzyjnie kryteriów oceny ryzyka, istnieje ryzyko naruszenia art. 7 Konstytucji RP lub jego odpowiedników w innych porządkach konstytucyjnych.
  • Brak określoności przepisów. Prawo kontynentalne wymaga, by przepisy były dostatecznie jasne i przewidywalne dla adresata normy (zasada pewności prawa). Tymczasem RBA opiera się często na nieostrych pojęciach („ryzyko wysokie”, „ryzyko akceptowalne”), co utrudnia jednostce ustalenie zakresu swoich obowiązków bez dodatkowych wytycznych lub praktyki organów.
  • Problemy z kontrolowalnością decyzji. W systemie prawa stanowionego decyzje administracyjne muszą podlegać kontroli sądowej. Jeżeli decyzja opiera się na subiektywnej ocenie ryzyka bez publikowanych metodologii czy wskaźników, sąd administracyjny może mieć ograniczoną możliwość jej merytorycznego zweryfikowania. Utrudnia to ochronę praw jednostki.
  • Odejście od wykładni literalnej. W tradycyjnych systemach kontynentalnych dominuje wykładnia językowa, a celem stosowania prawa jest odtworzenie „woli ustawodawcy”. RBA z kolei często odwołuje się do celowości, efektywności, zasad zarządzania ryzykiem – a więc do kategorii, które mogą wymuszać stosowanie wykładni funkcjonalnej, co nie zawsze znajduje akceptację w doktrynie czy orzecznictwie.
  • Nierówne traktowanie podmiotów. RBA może prowadzić do zróżnicowania traktowania podmiotów, mimo że formalnie znajdują się one w podobnej sytuacji prawnej. Jeżeli organ, na podstawie własnej oceny ryzyka, wprowadza zróżnicowane wymagania wobec różnych adresatów normy, może dojść do naruszenia zasady równości wobec prawa (np. art. 32 Konstytucji RP).
  • Brak podstaw w ustawie dla aktów miękkiego prawa. W praktyce RBA często opiera się na wytycznych, rekomendacjach, scoringach i metodykach publikowanych przez organy nadzorcze (tzw. soft law). W prawie kontynentalnym akty te nie mają rangi źródła prawa powszechnie obowiązującego, co powoduje napięcie między wymogiem legalizmu a praktyką stosowania RBA.
  • Ryzyko retroaktywności praktyki nadzorczej. Jeżeli organ dokonuje nowej kwalifikacji poziomu ryzyka (np. wskutek zmiany metodyki), może uznać za niewystarczające środki wcześniej uznane za zgodne z prawem. To stwarza zagrożenie dla zasady ochrony zaufania jednostki do państwa oraz zakazu działania prawa wstecz.

Podstawy prawne stosowania RBA w Polsce. Polskie przepisy nie wprowadzają ogólnej zasady RBA, lecz przewidują jej stosowanie w wybranych sektorach. Przykłady obejmują:

  • Ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (art. 27 i nast.), która nakazuje instytucjom obowiązanym identyfikację i ocenę ryzyka oraz stosowanie środków adekwatnych do jego poziomu.
  • RODO (motyw 76, art. 24 ust. 1, art. 32), które obliguje administratorów danych do dostosowania środków ochrony do poziomu ryzyka naruszenia praw i wolności osób fizycznych.
  • Ustawy sektorowe, takie jak Prawo bankowe, ustawa o obrocie instrumentami finansowymi czy ustawa o nadzorze nad rynkiem finansowym, które umożliwiają Komisji Nadzoru Finansowego prowadzenie nadzoru proporcjonalnego do skali i charakteru ryzyka instytucji finansowych.

Wspólną cechą powyższych regulacji jest przekazanie znaczącej autonomii podmiotom nadzorowanym i organom w określaniu adekwatnych środków przeciwdziałających ryzyku. Brakuje natomiast aktu normatywnego o charakterze ogólnym, który kompleksowo regulowałby zasady stosowania RBA w administracji publicznej.

Zasady wykładni prawa a stosowanie RBA. Wykładnia doktrynalna ma:

  • charakter in abstracto – dokonywana jest w oderwaniu od konkretnych stanów faktycznych. RBA zaś zawsze odnosi się do konkretnych stanów faktycznych.
  • odpowiedzieć na wątpliwość co do określonego w prawie wzoru zachowania – polega na wątpliwościach co do tego, jak dany podmiot powinien się zachować w danych okolicznościach. RBA zaś nie ma jednego obiektywnego wzorca zachowań, gdyż wymaga podwójnej indywidualizacji na poziomie czynników ryzyka i podatności koncentrując się często na profesjonalnym osądzie danego ryzyka i w ślad za nim idących adekwatnych doń czynności.

W polskim systemie prawnym dominuje zasada obiektywizmu wykładni prawa. Oznacza to, że organ stosujący prawo powinien nadawać przepisom sens możliwy do ustalenia na podstawie tekstu prawnego, a nie kierować się subiektywnymi celami. Pierwszorzędną metodą interpretacyjną jest wykładnia językowa. Wykładnia celowościowa oraz systemowa mają charakter uzupełniający.

W odniesieniu do RBA oznacza to, że organ nie może uzasadniać swoich decyzji jedynie celami regulacyjnymi (np. efektywnością nadzoru), jeśli nie znajduje to oparcia w wyraźnych przepisach prawa.

Obiektywizm wykładni dąży do zapewnienia jednolitości, spójności i przewidywalności w stosowaniu prawa, co wydaje się stać w opozycji do indywidualizacji decyzji charakterystycznej dla RBA. Jednakże, możliwe jest pogodzenie tych dwóch podejść. RBA może być stosowane w granicach wykładni obiektywnej, pod warunkiem, że elastyczność decyzji administracyjnych nie prowadzi do dowolności w interpretacji przepisów. Organy administracyjne mogą przyjąć elastyczne podejście, ale zawsze muszą pozostać w granicach celu ustawy oraz ogólnych zasad prawa, takich jak zasada proporcjonalności.

Zasada proporcjonalności. Zasada proporcjonalności, mająca swoje źródło w art. 2 Konstytucji RP, wymaga, aby każde działanie władzy publicznej pozostawało w rozsądnej relacji do zakładanego celu. Zasada ta została również rozwinięta w orzecznictwie TSUE, które wskazuje, że środki regulacyjne muszą być:

  • odpowiednie do osiągnięcia celu,
  • konieczne, tzn. najmniej uciążliwe spośród dostępnych,
  • zrównoważone w zakresie skutków dla jednostki i korzyści dla interesu publicznego.

Problemy prawne w stosowaniu RBA. W praktyce stosowanie podejścia opartego na analizie ryzyka wiąże się z wieloma wyzwaniami:

  • Brak ustawowej definicji ryzyka regulacyjnego oraz jednolitych zasad jego klasyfikacji.
  • Rozbieżności w zakresie publikacji wytycznych i kryteriów oceny ryzyka przez różne organy administracyjne.
  • Niewystarczające uzasadnianie decyzji administracyjnych pod kątem zastosowanego poziomu ryzyka.
  • Ograniczona możliwość skutecznej weryfikacji przez podmioty nadzorowane przyjętej przez organ metodologii.

Kryteria stosowania RBA przez organy administracji. Stosowanie RBA przez organy administracji publicznej powinno w mojej ocenie opierać się na następujących kryteriach:

  • Wyraźna podstawa ustawowa do działania w oparciu o ocenę ryzyka,
  • Upublicznienie metodologii oceny ryzyka i sposobu jej aktualizacji,
  • Uzasadnianie decyzji administracyjnych w kontekście przyjętego poziomu ryzyka,
  • Możliwość weryfikacji i zaskarżenia decyzji opartej na analizie ryzyka,
  • Bezwzględnego respektowania zakazu rekroaktywnego działania nadzorczego w przypadku zmiany podejścia przez organ,
  • Zachowanie zasady równego traktowania podmiotów o podobnym profilu działalności i ryzyka.

Wnioski i postulaty de lege ferenda. Podejście oparte na analizie ryzyka może pełnić użyteczną funkcję w zarządzaniu ryzykiem regulacyjnym i zwiększaniu efektywności administracji publicznej. Jednak brak ram systemowych dla jego stosowania może prowadzić do naruszeń podstawowych zasad państwa prawa. W związku z tym wskazane są następujące postulaty de lege ferenda:

  • Wprowadzenie ogólnej ustawy lub części kodeksu postępowania administracyjnego regulującej zasady stosowania RBA przez organy administracji,
  • Ujednolicenie terminologii i metodologii RBA w aktach sektorowych,
  • Ustanowienie obowiązku publikowania przez organy kryteriów klasyfikacji ryzyka i ich aktualizacji,
  • Rozbudowanie standardów uzasadniania decyzji administracyjnych opartych na analizie ryzyka,
  • Uwzględnianie RBA w ocenach skutków regulacji (OSR) oraz konsultacjach publicznych,
  • Wzmocnienie ochrony procesowej podmiotów nadzorowanych poprzez zapewnienie im dostępu do danych i algorytmów stosowanych przy ocenie ryzyka.

Rozwój i profesjonalizacja podejścia RBA wymaga nie tylko narzędzi prawnych, ale również odpowiedniego przygotowania instytucjonalnego i kultury działania administracji. Tylko przejrzyste, proporcjonalne i kontrolowalne mechanizmy nadzorcze są w stanie pogodzić efektywność administracji z ochroną praw jednostki w demokratycznym państwie prawnym. Stosowaniu podejścia RBA powinny zawsze przyświecać fundamentalne zasady wynikająca z art. 7a k.p.a. odnosząca się do rozstrzygania wątpliwości prawnych na korzyść strony oraz z art. 8 tego aktu, gdzie ustawodawca jasno precyzuje swe intencje – organy administracji publicznej prowadzą postępowanie w sposób budzący zaufanie jego uczestników do władzy publicznej, kierując się zasadami proporcjonalności, bezstronności i równego traktowania. Jeżeli bowiem punktem wyjścia organów jest zasada RBA, to nawet wówczas wskazane powyżej normy powinny być ramami, które utrzymują organ w dojściu do adekwatnych środków podjętych w celu przeciwdziałania zidentyfikowanemu ryzyku.