Projekt nowelizacji Prawa bankowego

Kluczowe zmiany dla outsourcingu IT

Na stronie Rządowego Centrum Legislacji pojawił się projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku. Projekt dotyczy zmian niektórych ustaw regulujących rynek finansowy w tym m.in. Prawa bankowego.

Znowelizowane mają zostać m.in. przepisy określające zasady dokonywania outsourcingu bankowego, który dotychczas wiązał się z koniecznością spełnienia jednych z najbardziej rygorystycznych wymogów, jeśli chodzi o rynek finansowy.

Kluczowe pod kątem dokonywania outsourcingu zmiany mają dotyczyć:

  • zakresu czynności, które mogą być przedmiotem dalszego powierzenia (podoutsourcingu);
  • długości dopuszczalnego łańcucha outsourcingowego;
  • zasad dokonywania outsourcingu zagranicznego;
  • możliwości powierzania czynności insourcerom będącym bankami.

Zakres czynności, które mogą być przedmiotem dalszego powierzenia (podoutsourcingu)

Projekt zakłada zmianę art. 6a ust. 7 pkt 1) Prawa bankowego określającego zakres czynności, które mogą być przedmiotem podoutsourcingu. Zniesiony ma  więc zostać dotychczasowy wymóg polegający na możliwości powierzenia podwykonawcy jedynie „czynności służących realizacji głównego świadczenia”, a więc wyłącznie czynności o charakterze pomocniczym w stosunku do tych wykonywanych przez głównego dostawcę. Projekt ustawy przewiduje doprowadzenie do takiego stanu rzeczy poprzez zastąpienie ww.  fragmentu przepisu zwrotem „określonych w umowie zawartej z bankiem czynności, wynikających z tej umowy, po uzyskaniu pisemnej zgody banku, z zachowaniem tajemnicy prawnie chronionej”. Taka modyfikacja daje dużo większą swobodę co do zakresu czynności, które mogą być przedmiotem powierzenia podwykonawcom przez głównego dostawcę. Wydaje się, że projektowana zmiana przewiduje w zasadzie dowolny zakres powierzenia przez dostawcę czynności wykonywanych dla Banku podwykonawcom.  

Dotychczasowe uregulowanie tego zakresu („określonych w umowie zawartej z bankiem czynności służących realizacji głównego świadczenia wynikającego z tej umowy, po uzyskaniu pisemnej zgody banku”) jest nieostre i w praktyce ustalenie zakresu takich czynności budzi wiele wątpliwości. Nowe brzmienie przepisu wskazuje wprost na możliwość dalszego powierzenia przez insourcera czynności zleconych przez bank, co eliminuje konieczność analizy dopuszczalności dokonania podoutsourcingu pod kątem powierzenia czynności „zbytnio przypominających” czynności powierzone insourcerowi przez bank. Projektowana zmiana może istotnie ułatwić wykorzystanie przez Banki różnego rodzaju usług IT, np. usług globalnych dostawców rozwiązań IT dostarczanych przez partnerów technologicznych. 

Długość łańcucha outsourcingowego

Aktualnie zgodnie z art. 6a ust. 7 Prawa Bankowego dostawca banku może korzystać z poddostawców przy świadczeniu usług na rzecz banku (z uwzględnieniem wskazanego powyżej zakresu podpowierzenia), natomiast poddostawca nie może dokonać dalszego powierzenia czynności kolejnym podmiotom w łańcuchu. Ograniczenie to od wielu lat było podnoszone w dyskusjach branżowych, zarówno przez przedstawicieli sektora bankowego, doradców prawnych jak i dostawców IT – wnioskodawca projektu wydaje się uwzględniać (w przeważającej mierze krytyczną) ocenę rynku w tym zakresie. Projektowane zmiany przewidują taką możliwość – poddostawca banku będzie mógł dokonać dalszego powierzenia pod warunkiem uzyskania pisemnej zgody banku przed dokonaniem powierzenia przez poddostawcę.

 Warto przy tym zaznaczyć, że wymóg udzielenia pisemnej zgody poddostawcy (a nie bezpośrednio insourcerowi) na takie dalsze powierzenie może stanowić pewne problemy zarówno dla banków, jak i dostawców IT. Przepis ten może okazać się problematyczny zarówno z operacyjnego, jak i kontraktowego punktu widzenia – poddostawca nie będzie posiadał żadnej relacji kontraktowej z Bankiem, która mogłaby regulować szczegółowy tryb uzyskiwania takiej zgody. Wydaje się, że w praktyce czynności te tak czy inaczej realizowane będą za pośrednictwem bezpośredniego dostawcy.

Rozluźnienie rygorów podoutsourcingu z pewnością wychodzi naprzeciw potrzebom związanym z wykorzystywaniem usług opartych o nowoczesne rozwiązania technologiczne, w których wykorzystanie szeregu podwykonawców jest nieodłączną cechą tych usług. Jednocześnie w dodanym ust. 7a projektodawcy podkreślają wagę zachowania tajemnicy prawnie chronionej przy dokonywaniu dalszego powierzenia przez poddostawców banku. –W związku z odpowiednią zmianą przepisu art. 104 ust. 2 pkt 2) Prawa bankowego, znowelizowane przepisy  stanowić będą podstawę do ujawnienia tajemnicy bankowej dalszym podmiotom w łańcuchu outsourcingowym.

Zasady dokonywania outsourcingu zagranicznego

Istotne znacznie ma również zmiana reżimu dokonywania tzw. outsourcingu zagranicznego, czyli 1) zawarcia umowy dot. powierzania przez bank wykonywania czynności przedsiębiorcy zagranicznemu niemającemu miejsca stałego zamieszkania lub nieposiadającemu siedziby na terytorium państwa członkowskiego (tj. EOG) lub 2) zawarcia umowy przewidującej, że powierzone czynności będą wykonywane poza terytorium państwa członkowskiego (tj. EOG).

Aktualnie bank zobowiązany jest do uzyskania zezwolenia Komisji Nadzoru Finansowego na outsourcing zagraniczny. Procedura uzyskania takiego zezwolenia jest długotrwała i niejednokrotnie trwa nawet kilkanaście miesięcy, krytycznie opóźniając realizację inicjatyw banków wiążących się z podjęciem współpracy z przedsiębiorcami spoza Europejskiego Obszaru Gospodarczego. Projekt zakłada zniesienie obowiązku uzyskania zezwolenia, który zastąpi obowiązek zawiadomienia KNF z 30-dniowym wyprzedzeniem o zamiarze zawarcia umowy outsourcingowej, która prowadzić będzie do outsourcingu zagranicznego.

Do zawiadomienia bank będzie zobowiązany dołączyć określoną w projektowanym art. 6d ust. 1a dokumentację, na którą składają się: 1) projekt umowy outsourcingowej, 2) plany działania insourcera zapewniające ciągłe i niezakłócone prowadzenie działalności w zakresie objętym umową outsourcingową, 3) opis rozwiązań technicznych i organizacyjnych, zapewniających bezpieczne i prawidłowe wykonywanie przez insourcera powierzonych czynności, w szczególności ochronę tajemnicy prawnie chronionej, 4) opis zasad zarządzania u insourcera ryzykiem związanym z powierzeniem wykonywania czynności, 5) informacje nt. insourcera dot. prowadzonej przez niego działalności gospodarczej oraz grupy z państwa trzeciego, do której należy, 6) zaświadczenie o niekaralności insourcera oraz 7) oświadczenie insourcera dotyczące prowadzonych przeciwko niemu postępowań karnych i postępowań w sprawach o przestępstwa skarbowe oraz toczących się postępowań sądowych, które mogą mieć negatywny wpływ na sytuację finansową tego insourcera oraz postępowań administracyjnych, dyscyplinarnych lub egzekucyjnych, w których insourcer występował lub występuje jako strona.

Projekt zakłada również dodanie art. 6d ust. 1b, na mocy którego Komisja Nadzoru Finansowego będzie uprawniona do wezwania banku do uzupełnienia dokumentów lub złożenia dodatkowych wyjaśnień w ciągu 14 dni od dokonania zawiadomienia o zamiarze dokonania outsourcingu zagranicznego.

Jednocześnie zgodnie z nowym brzmieniem art. 6d ust. 2 outsourcing zagraniczny nie będzie możliwy, jeżeli „w państwie, w którym powierzone czynności mają być wykonywane, obowiązujące prawo, uniemożliwia Komisji Nadzoru Finansowego wykonywanie efektywnego nadzoru.”. Jest to sformułowanie nieostre, obecne dotychczas w Prawie bankowym jako jedna z przesłanek odmowy wydania zezwolenia lub cofnięcia zezwolenia na outsourcing zagraniczny (zob. art. 6d ust. 4 pkt 2), w związku z czym wprowadzenie jej w nowym przepisie nie powinno realnie wpłynąć na możliwość dokonywania outsourcingu zagranicznego.

Warto również dostrzec różnicę pomiędzy aktualnym uregulowaniem tj. możliwością odmowy wydania lub cofnięcia zezwolenia, którą z zachowaniem pewnej dyskrecjonalności pozostawiono dotychczas dla KNF, a projektowanym nowym brzmieniem art. 6d ust. 4, zgodnie z którym „Komisja Nadzoru Finansowego nakazuje bankowi, w drodze decyzji, podjęcie działań zmierzających do niezawierania, zmiany lub rozwiązania umowy, o której mowa w art. 6a ust. 1, 7 lub 7a, z przedsiębiorcą, o którym mowa w ust. 1, w przypadku gdy bank nie dostarczy dokumentów lub wyjaśnień, o których mowa w ust. 1a i 1b, w określonym terminie lub nie spełnia warunków, o których mowa w art. 6c ust. 1.”.

Proponowane brzmienie przepisu wskazuje na automatyzm działania organu i niejako zobowiązanie KNF do zastosowania nakazu niezawierania, zmiany lub rozwiązania umowy np. w przypadku. wystąpienia jednej z przesłanek określonych w art. 6c ust. 1, czyli m.in. niekorzystnego wpływu na ochronę tajemnicy prawnie chronionej. Propozycja nowego brzmienia art. 6d ust. 4 wydaje się zatem pozostawać nieco w sprzeczności z ogólnym kierunkiem planowanych zmian – de facto zaostrza ona środki nadzorcze i rygor ich stosowania przez KNF.

Możliwość powierzania czynności insourcerom będącym bankami

Kluczową zmianą z perspektywy outsourcingu dokonywanego przez banki działające w ramach międzynarodowych grup kapitałowych wprowadza art. 6da, którego dodanie przewiduje projekt zmian Prawa bankowego. Przepis ten zawiera szereg wyłączeń stosowania przepisów ograniczających outsourcing w sytuacji, gdy insourcerem jest inny bank lub bank zagraniczny. Z niewiadomych powodów z ułatwień w zakresie outsourcingu międzybankowego nie będą mogły, zgodnie z projektowanymi zmianami, korzystać instytucje kredytowe (tj. instytucje prowadzące działalność bankową mające siedzibę w państwie członkowskim /+ EOG/). Projektowany przepis dotyczy bowiem jedynie banków (zgodnie z definicją w Prawie bankowym) oraz banków zagranicznych (banki mające siedzibę poza granicami RP, na terytorium państwa niebędącego państwem członkowskim /+ EOG/). Uzasadnione byłoby, aby wnioskodawca wprowadził tą istotną zmianę w dalszych pracach nad projektem.

Zgodnie z projektowanym art. 6da w takim przypadku nie stosuje się przepisów art. 6a ust. 4–6, art. 6c i art. 6d, które zawierają odpowiednio warunki powierzenia przez bank wykonywania innych czynności niż wskazane w art. 6a ust. 1 pkt 1, ogólne warunki dokonywania outsourcingu oraz warunki dokonywania outsourcingu zagranicznego. Oznacza to istotne uproszczenie zasad outsourcingu np. w sytuacji, gdy bank (również zagraniczny) udostępnia innemu bankowi usługi IT. Takie rozwiązanie jest często spotykaną praktyką w np. w obszarze usług chmurowych, jednak do tej pory wiązało się z poważnymi przeszkodami regulacyjnymi. Zniesienie obowiązku stosowania art. 6c i 6d w przypadku outsourcingu pomiędzy bankami wraz z wydłużeniem dopuszczalnego łańcucha outsourcingowego będzie niejako otwarciem szerzej możliwości nabywania takich usług.