Uwagi do projektu nowelizacji przepisów dotyczących outsourcingu bankowego

z perspektywy projektów informatycznych.

W Ministerstwie Finansów toczą się aktualnie prace nad nowelizacją przepisów Prawa bankowego regulujących outsourcing bankowy (najważniejsze z planowanych zmian podsumowaliśmy w naszym poprzednim artykule „Projekt nowelizacji Prawa bankowego. Kluczowe zmiany dla outsourcingu IT”).

Z uwagi na nasze zaangażowanie w szereg projektów technologicznych realizowanych w polskim sektorze bankowym, jako zespół kancelarii Maruta Wachta postanowiliśmy podzielić się z projektodawcą, w ramach konsultacji publicznych, kilkoma kierunkowymi uwagami. Poniżej podsumowuję te elementy planowanej nowelizacji, które z perspektywy projektów IT (w tym w szczególności projektów „chmurowych”) wymagają w naszej ocenie najpilniejszych modyfikacji (projekt ustawy oraz nasze pełne uwagi dostępne są tutaj).

W przygotowaniu uwag do projektu ustawy oraz niniejszego artykułu uczestniczyli również Michał Kulesza, Arkadiusz Kawulski, Natalia Dulkowska, Piotr Filipowski – prawnicy zespołu Cloud kancelarii Maruta Wachta.

Dobry kierunek, ale liberalizacja może okazać się pozorna.

Przede wszystkim: kierunek zmian oceniamy pozytywnie. Jak wynika z uzasadnienia projektu, jednym z celów nowelizacji ma być umożliwienie „bardziej efektywnego oraz elastycznego korzystania przez banki z instytucji outsourcingu”. I rzeczywiście – propozycje resortu dotykają obszarów, które w projektach informatycznych sprawiały bankom największe trudności praktyczne, czyli podoutsourcingu (i powiązanego z tym problemu ujawnienia tajemnicy bankowej) oraz korzystania z usług dostawców i poddostawców spoza EOG. Projektowane zmiany wydają nam się jednak zbyt mało radykalne, aby mogły w sposób istotny wpłynąć na wzrost innowacyjności sektora bankowego, w tym np. na poziom adopcji chmury obliczeniowej przez ten sektor. Dlatego w niektórych obszarach proponujemy pójście o krok dalej.

Jednocześnie w dyskusji o proponowanych zmianach musimy uwzględniać przede wszystkim to, co przepisy regulujące outsourcing bankowy mają chronić, czyli stabilne i bezpieczne funkcjonowanie sektora bankowego oraz – w konsekwencji – bezpieczeństwo jego klientów i ich depozytów. Wydaje się, że optymalny w tym kontekście sposób regulacji niektórych obszarów objętych planowaną nowelizacją proponuje Europejski Urząd Nadzoru Bankowego (EBA) w swoich Wytycznych dotyczących outsourcingu z lutego 2019 r. Dlatego tam, gdzie to możliwe, proponujemy oparcie projektowanych zmian na już obowiązujących banki i zweryfikowanych przez unijny rynek rozwiązaniach wynikających z tych Wytycznych (co zgodnie z uzasadnieniem projektu jest jednym z celów nowelizacji).

Zgoda banku na podoutsourcing – szczegółowa albo ogólna

Projekt ustawy utrzymuje wynikający obecnie z art. 6a ust. 7 pkt 1 Prawa bankowego wymóg wyrażania przez bank szczegółowej pisemnej zgody na zawarcie przez dostawcę banku każdej umowy podoutsourcingu (z wyjątkiem przewidzianym dla podoutsourcingu awaryjnego). Obowiązek ten, w szczególności przez swój daleko idący formalizm (forma pisemna), stanowi jedną z najważniejszych przeszkód, z którymi banki mierzą się w projektach informatycznych, w szczególności wykorzystujących usługi chmurowe.

Uwzględnienie w umowie z dostawcą chmury takich mechanizmów zarządzania poddostawcami, które umożliwiałyby bankowi wyrażanie odrębnej, pisemnej zgody na zaangażowanie każdego z poddostawców w praktyce najczęściej okazuje się bardzo trudne albo niemożliwe (i rzadko niezbędne z perspektywy oceny ryzyka dokonywanej przez sam bank).

Optymalny w tym kontekście wydaje się być model przyjęty na gruncie Wytycznych EBA, ale także m.in. przepisów RODO, który przewiduje możliwość udzielenia przez bank ogólnej zgody na korzystanie przez dostawcę banku z podoutsourcingu. Zgodnie z Wytycznymi umowa outsourcingu – w odniesieniu do podoutsourcingu krytycznych lub istotnych funkcji (kategoria ta nie występuje na gruncie przepisów Prawa bankowego) – powinna m.in.:

  • określać warunki, które muszą być spełnione w przypadku podoutsourcingu;
  • zobowiązywać dostawcę usług do uzyskania uprzedniej szczegółowej lub ogólnej pisemnej zgody od instytucji przed udostępnieniem danych w ramach podoutsourcingu oraz 
  • zapewniać, w stosownych przypadkach, prawo instytucji do sprzeciwu wobec zamierzonego podoutsourcingu lub istotnych zmian go dotyczących lub wymóg uzyskania wyraźnej zgody.

W takim modelu ostateczna decyzja co do zasad korzystania z usług poddostawców (w tym – czy bank powinien udzielać odrębnej, szczegółowej pisemnej zgody na każdy przypadek podoutsourcingu) powinna być dokonywana przez bank z uwzględnieniem wyników szacowania ryzyka związanego z konkretnym przypadkiem outsourcingu. Takie rozwiązanie umożliwi bankom z jednej strony stosowanie bardziej elastycznych i powszechnie przyjmowanych w praktyce modeli zarządzania poddostawcami, co powinno prowadzić m.in. do ułatwienia wdrażania złożonych usług IT, a z drugiej – powinno umożliwiać bankom sprawowanie wystarczająco efektywnej kontroli nad zakresem i sposobem korzystania przez dostawców z podoutsourcingu (w tym np. na potrzeby zawiadomienia KNF o podoutsourcingu zagranicznym).

Nieograniczona długość łańcucha outsourcingowego

Z obecnie obowiązującego przepisu art. 6a ust. 7 pkt 1 Prawa bankowego wyprowadzany jest zakaz dokonywania dalszego podoutsourcingu, w ramach którego poddostawca powierzałby część czynności wykonywanych na rzecz banku własnemu (dalszemu) poddostawcy. Innymi słowy: tzw. łańcuch outsourcingowy musi być ograniczony do jednego „poziomu” czy też „ogniwa” poddostawców. Nowelizacja miałaby wprowadzać w tym zakresie pewną zmianę – zgodnie z projektowanym art. 6a ust. 7a poddostawca ma móc, po uzyskaniu pisemnej zgody banku, powierzyć – w drodze odrębnej umowy – wykonywanie powierzonych mu czynności innemu (dalszemu) poddostawcy.

W uzasadnieniu projektu wskazano, że celem art. 6a ust. 7a ma być zapewnienie spójności regulacji krajowej z wymogami wynikającymi z Wytycznych EBA – jak bowiem słusznie zauważa projektodawca, umożliwiają one dokonywanie podoutsourcingu „w zasadzie w pełnym zakresie”. Przepis ten posiada jednak takie same wady, jak projektowany art. 6a ust. 7 pkt 1 (uwagi powyżej), a ponadto jego brzmienie zdaje się sugerować, że długość dopuszczalnego łańcucha outsourcingowego ma zostać zwiększona wyłącznie o jeden dodatkowy „poziom” poddostawców.

Złożone usługi IT (np. tzw. chmury warstwowe) ze swej istoty opierają się często na licznych, skomplikowanych relacjach (w tym kontraktowych) pomiędzy podmiotami biorącymi udział w ich świadczeniu. Stąd w celu upowszechnienia takich usług w sektorze bankowym niezbędne jest umożliwienie bankom i ich dostawcom korzystania z jak najbardziej elastycznych modeli kontraktowych, w tym korzystania z usług poddostawców niezależnie od tego, na jakim poziomie łańcucha outsourcingowego się znajdują. Akceptowalna długość łańcucha w przypadku konkretnego przypadku outsourcingu powinna wynikać z przeprowadzonego przez bank szacowania ryzyka (zgodnie z Wytycznymi EBA). Jednocześnie bank i jego bezpośredni dostawca powinni zapewniać, że długość łańcucha nie będzie wpływała na zgodność świadczenia usług z przepisami prawa oraz zawartą umową outsourcingu.

Taki efekt może zostać osiągnięty w szczególności poprzez wprowadzenie obowiązku odpowiedniego stosowania wymogów dotyczących dalszego podoutsourcingu do każdego kolejnego poziomu łańcucha (pod)outsourcingowego (w tym zasad wyrażania zgody przez bank na podoutsourcing – zob. uwagi powyżej), co eliminowałoby istniejące niejasności, umożliwiało powszechniejszą realizację bardziej skomplikowanych projektów outsourcingowych, a jednocześnie nie powinno mieć negatywnego wpływu na bezpieczeństwo ich realizacji (przy odpowiednim zarządzaniu ryzykiem przez bank).

Uproszczenie procesu notyfikacji outsourcingu zagranicznego

Projekt ustawy przewiduje zniesienie obowiązującego obecnie wymogu uzyskania zezwolenia organu nadzoru na dokonanie tzw. outsourcingu lub podoutsourcingu zagranicznego na rzecz obowiązku zawiadomienia KNF o zamiarze dokonania takiego outsourcingu lub podoutsourcingu. Problem w tym, że zakres informacji i dokumentów, które zgodnie z projektowaną regulacją bank powinien uwzględnić w notyfikacji, nie różni się w istotny sposób od zakresu informacji i dokumentów, które banki zobowiązane są aktualnie przekazywać KNF wraz z wnioskiem o udzielenie zezwolenia. Są to m.in. plany ciągłości działania dostawcy lub poddostawcy, opisy zasad zarządzania ryzykiem stosowanych przez dostawcę lub poddostawcę, zaświadczenia o niekaralności czy oświadczenia dotyczące prowadzonych wobec dostawcy lub poddostawcy postępowań karnych itp.

W praktyce – przynajmniej w przypadku usług IT – taka zmiana nie doprowadzi w naszej ocenie do istotnego uelastycznieniu korzystania przez banki z usług dostawców lub poddostawców spoza EOG. Tym, co dotychczas sprawiało bankom największe trudności nie była bowiem jedynie konieczność oczekiwania na udzielenie zezwolenia przez organ nadzoru, lecz sam proces gromadzenia wszystkich informacji i dokumentów wymaganych przez przepisy Prawa bankowego – w szczególności dotyczących poddostawców, których w przypadku usług chmurowych są zazwyczaj dziesiątki i którzy zlokalizowani są najczęściej w każdym dużym obszarze geograficznym. Jednocześnie realny udział tych poddostawców w świadczeniu usług na rzecz banku jest często marginalny, co jednak nie wyłącza obecnie stosowania wymogu zawiadomienia (i gromadzenia wszystkich ww. dokumentów i informacji).

Biorąc pod uwagę, że na banku ciąży obowiązek zapewnienia zgodności działania dostawców lub poddostawców z obowiązującymi regulacjami niezależnie od tego, na jakim poziomie łańcucha outsourcingowego i w jakiej lokalizacji się znajdują, a także zakładaną możliwość wezwania banku przez KNF do przekazania dodatkowych informacji lub dokumentów dotyczących danego dostawcy lub poddostawcy zagranicznego, wydaje się, że zakres informacji dotyczących planowanego powierzenia czynności może zostać ograniczony w szczególności do:

  • danych identyfikujących dostawcę lub poddostawcę zagranicznego;
  • zakresu powierzanych czynności;
  • lokalizacji miejsca zamieszkania albo siedziby dostawcy lub poddostawcy oraz miejsca wykonywania powierzanych mu czynności.

Nadmiarowe ponadto wydaje się wprowadzanie wynikającego z projektowanego art. 6d ust. 3 Prawa bankowego, a nieistniejącego obecnie, obowiązku informowania KNF o wszelkich zmianach, rozwiązaniu lub wygaśnięciu umowy outsourcingu lub podoutsourcingu zagranicznego. Taki obowiązek prowadzić będzie do powstania nieproporcjonalnych obciążeń operacyjnych po stronie banków, w szczególności w zakresie konieczności kontrolowania i notyfikowania wszelkich (nawet zupełnie nieistotnych z perspektywy bezpieczeństwa banku) zmian umowy outsourcingu lub (co będzie szczególnie trudne) podoutsourcingu.

Z perspektywy obowiązków nadzorczych KNF wystarczające wydaje się ograniczenie dodatkowego obowiązku notyfikacyjnego wyłącznie do przekazywania informacji o istotnych zmianach umowy outsourcingu lub podoutsourcingu, przy czym przez istotną zmianę rozumieć należałoby w naszej ocenie zmianę dotyczącą kwestii, o których bank powinien poinformować KNF przed powierzeniem czynności (zob. uwagi powyżej).