Wyjaśnienia interpretacyjne i rekomendacje sektora bankowego w zakresie nowych Wytycznych EBA w sprawie outsourcingu

W związku z opublikowaniem Wytycznych EBA, zgodnie z którymi instytucje kredytowe powinny dokonać szeregu zmian w stosowanym do tej pory procesie dotyczącym outsourcingu oraz dokonać przeglądu i odpowiednich zmian istniejących umów outsourcingu w celu zapewnienia zgodności z Wytycznymi EBA, w Związku Banków Polskich ("ZBP") została powołana grupa robocza, której celem jest zidentyfikowanie wątpliwości, problemów oraz uzgodnienie jednolitej interpretacji Wytycznych EBA ("Grupa Robocza").

Niniejsza Rekomendacja, przedstawiona w formie zbioru wyjaśnień interpretacyjnych, została opracowana w drodze spotkań, konsultacji i debat w gronie kilkudziesięciu przedstawicieli banków uczestniczących w obradach Grupy Roboczej i przy jednoczesnym wsparciu merytorycznym prawników kancelarii PwC Legal Żelaźnicki sp.k. ("PwC Legal").

Intencją Grupy Roboczej było stworzenie katalogu rekomendowanych odpowiedzi, które w praktyczny sposób adresowałyby wątpliwości i problemy członków Grupy Roboczej w ramach zarządzania procesami outsourcingowymi, w szczególności pod kątem Wytycznych EBA i ich relacji z powszechnie obowiązującymi przepisami prawa polskiego oraz Stanowiskiem UKNF.

Zgodnie z intencjami Grupy Roboczej, Rekomendacja przybrała formę pytań i odpowiedzi, uszeregowanych według następujących obszarów tematycznych:

Celem działania Grupy Roboczej jest wypracowanie jednolitych standardów postępowania przez banki w ramach najistotniejszych zagadnień dotyczących procesów outsourcingowych.

Do wspomnianych obszarów tematycznych przyporządkowane zostały konkretne wątpliwości/pytania członków Grupy Roboczej.

I. Zakres przedmiotowych Wytycznych EBA

A. Definicja outsourcingu EBA a definicja outsourcingu w ustawie z dnia 29 sierpnia 1997 r. prawo bankowe (Dz. U. z 2019 r. poz. 2357, tj. z 2019 r. z późn. zm.) ("Prawo Bankowe"). Jaka jest relacja tych definicji i jaki jest jej wpływ na zakres przedmiotowy stosowania Wytycznych EBA?

Elementy definicji outsourcingu w rozumieniu przepisów Prawa Bankowego zostały zawarte w art. 6a ust. 1 i 2 ustawy. Zgodnie z nimi, zlecenie przedsiębiorcy lub przedsiębiorcy zagranicznemu w drodze umowy zawartej na piśmie czynności, o których mowa w art. 6a ust. 1 i 2 Prawa Bankowego należy rozumieć jako powierzenie ("Powierzenie").

Natomiast przez outsourcing w rozumieniu Wytycznych EBA należy rozumieć umowę zawartą pomiędzy bankiem a usługodawcą w dowolnej formie, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez sam bank ("Outsourcing EBA").

Z samej analizy elementów składowych definicji Powierzenia oraz Outsourcingu EBA wynika, iż Outsourcing EBA stanowi pojęcie szersze niż Powierzenie. W praktyce oznacza to, iż każda współpraca o charakterze outsourcingowym kwalifikowana przez bank jako Powierzenie, powinna być jednocześnie kwalifikowana jako Outsourcing EBA. Jednocześnie nie każda współpraca zdefiniowana jako Outsourcing EBA powinna być kwalifikowana jako Powierzenie.

Na taką relację pomiędzy przedmiotowymi definicjami zwrócił również UKNF w swoim Stanowisku, zgodnie z którym: "(...) outsourcing jest pojęciem szerszym niż powierzenie wykonywania czynności w rozumieniu Prawa bankowego. Mając to na uwadze, ilekroć w niniejszym stanowisku jest mowa o powierzaniu wykonywania czynności, należy uznać, że chodzi tu o powierzenie wykonywania czynności w reżimie art. 6a i następnych Prawa bankowego. Natomiast ilekroć używane jest pojęcie outsourcingu, należy przyjąć, że mowa jest o tej kategorii w rozumieniu Wytycznych EBA, zatem, obejmującej także powierzanie wykonywania czynności. Pojęcie powierzenia wykonywania czynności, o którym mowa w art. 6a Prawa bankowego mieści się w pojęciu powierzenia funkcji z Wytycznych EBA".

Odnosząc się do zakresu przedmiotowego stosowania Wytycznych EBA oraz biorąc pod uwagę powyższą analizę obu definicji, należy uznać, iż Wytyczne EBA stosuje się względem obu rodzajów outsourcingu, tj. zarówno względem outsourcingu zidentyfikowanego przez bank jako Powierzenie, jak i względem outsourcingu zidentyfikowanego wyłącznie jako Outsourcing EBA.

W praktyce oznaczać to będzie, że banki powinny stosować Wytyczne EBA do wszystkich relacji kwalifikowanych jako Powierzenie. Jednocześnie w stosunku do relacji niekwalifikowanych jako Powierzenie banki powinny przeprowadzić analizę pozwalającą na identyfikację, czy tego rodzaju współpraca powinna być kwalifikowana jako Outsourcing EBA. Z tego względu, wydaje się, że proces analizy relacji outsourcingowych powinien obejmować etap mający na celu kwalifikację danej relacji zarówno jako Powierzenia jak i jako Outsourcingu EBA.

Należy pamiętać, że w przypadku kolizji postanowień Wytycznych EBA z przepisami polskiego prawa (w szczególności Prawa Bankowego), przepisy prawa polskiego powinny mieć pierwszeństwo w stosowaniu przed Wytycznymi EBA.

I tak, w przypadku kwalifikacji danej współpracy jako Powierzenia, należałoby stosować:

1) przepisy prawa polskiego, w tym Prawa Bankowego,

2) Wytyczne EBA (w zakresie, w jakim nie będą one sprzeczne z przepisami prawa polskiego),

3) rekomendacje i stanowiska organów nadzoru, które należy stosować również względem Outsourcingu EBA.

Przykładowo, w zakresie rejestru umów dla umów Powierzenia, należałoby więc stosować Wytyczne EBA (gdyż nie są one sprzeczne z Prawem Bankowym) wraz z art. 6c ust. 3 Prawa Bankowego.

Należy zaznaczyć, że w przypadku, w którym dane zagadnienie jest uregulowane w sposób niejednolity, stosujemy uregulowanie bardziej rygorystyczne (zgodnie ze Stanowiskiem UKNF).

W przypadku kwalifikacji danej współpracy wyłącznie jako Outsourcingu EBA (brak kwalifikacji jako Powierzenia), należałoby stosować:

1) przepisy prawa polskiego (inne niż właściwe dla Powierzenia),

2) Wytyczne EBA (w zakresie, w jakim nie będą one sprzeczne z przepisami prawa polskiego),

3) rekomendacje i stanowiska organów nadzoru nakładające na banki wymagania bardziej rygorystyczne niż Wytyczne EBA, ale nie dotyczące Powierzenia.

Powyższą tezę odnośnie zakresu przedmiotowego Outsourcingu EBA oraz Powierzenia potwierdza Stanowisko UKNF, zgodnie z którym: "Krajowe przepisy ściśle regulują funkcjonowanie banku jedynie w odniesieniu do części obszaru outsourcingu (Prawo bankowe), dlatego też należy zwrócić uwagę na interakcję pomiędzy przepisami krajowymi a Wytycznymi EBA i korzystać z obydwu źródeł uregulowania, z zachowaniem hierarchii przepisów. Co do zasady należy stosować Wytyczne EBA, jako szerzej ujmujące omawiany obszar, jednak w sytuacji, gdy przepisy krajowe, rekomendacje lub stanowiska interpretacyjne skierowane przez organ nadzoru do wszystkich banków zawierają postanowienia bardziej rygorystyczne, rozumiane jako wymagające zwiększonego wysiłku lub ograniczające swobodę działania banku w stosunku do postanowień Wytycznych EBA, należy stosować w danym przypadku przepisy krajowe, rekomendacje lub stanowiska interpretacyjne skierowane przez organ nadzoru do wszystkich banków. Natomiast, gdy przepisy krajowe, dotychczas wydane rekomendacje lub stanowiska interpretacyjne skierowane przez organ nadzoru do wszystkich banków zawierają postanowienia mniej rygorystyczne niż Wytyczne EBA, należy stosować w danym przypadku Wytyczne EBA".

B. Jakie kierunkowe kryteria należy stosować w procesie oceny danej relacji w kontekście kwalifikacji danej umowy jako outsourcingowej?

Podstawowym kryterium powinno być dokonanie analizy wskazującej czy dana umowa stanowi Powierzenie. W przypadku Powierzenia analiza, o której mowa powyżej, powinna polegać na sprawdzeniu czy zlecenie wykonywania danej funkcji mieści się w zakresie przedmiotowym i podmiotowym art. 6a ust. 1 pkt 1 i 2 Prawa Bankowego ("Kryterium Powierzenia").

W przypadku zidentyfikowania, iż dana umowa mieści się w ramach kategorii Powierzenia, taka umowa powinna się również mieścić w kategoriach Outsourcingu EBA (patrz pkt I. A). Zlecenie funkcji zidentyfikowanej jako Powierzenie powinno nastąpić z zachowaniem wymogów przewidzianych w Prawie Bankowym oraz Wytycznych EBA.

W przypadku umów Powierzenia zawartych już w reżimie przepisów Prawa Bankowego, należy je klasyfikować jednocześnie jako Outsourcing EBA, oraz podjąć odpowiednie działania, aby dostosować ich treść do Wytycznych EBA oraz przeprowadzić wymagane przez Wytyczne EBA oceny i analizy w zakresie, w jakim wymagania te są bardziej rygorystyczne od przepisów Prawa Bankowego.

W przypadku zidentyfikowania, iż dane zlecenie nie stanowi Powierzenia w rozumieniu Prawa Bankowego, bank powinien dokonać analizy, czy dane zlecenie mieści się w zakresie przedmiotowym Outsourcingu EBA, zgodnie z Wytycznymi EBA. Zlecenie czynności zidentyfikowanej jako Outsourcing EBA powinno nastąpić w drodze umowy outsourcingowej, z zachowaniem wymogów przewidzianych w Wytycznych EBA.

W ramach kryterium przedmiotowego należy przeanalizować, czy dana funkcja (rozumiana zgodnie z Wytycznymi EBA jako proces, usługa, działanie) realizowana w ramach outsourcingu mogłaby być wykonywana przez bank samodzielnie (tj. z wykorzystaniem własnych zasobów) ("Kryterium Outsourcingu EBA").

Dodatkowo, zgodnie z pkt 26 Wytycznych EBA, z zakresu Outsourcingu EBA wyłączyć należy współpracę obejmującą funkcje (lub jej części), które nie będą wykonywane regularnie lub na bieżąco (np. w ramach umów zawieranych w celu zrealizowania określonych czynności jednorazowo, na krótki czas, niezbędny do wykonania określonych czynności) 1 . Taką interpretację potwierdza EBA w ramach konsultacji prowadzonych w procesie legislacyjnym Wytycznych EBA 2 , wskazując wprost, że intencją pkt 26 Wytycznych EBA jest oznaczenie, że umowa outsourcingowa w rozumieniu Wytycznych EBA powinna obejmować funkcje wykonywane regularnie lub na bieżąco 3 .

W praktyce oznacza to, że z definicji Outsourcingu EBA wyłączone mogą być w szczególności jednorazowe umowy (nie będące Powierzeniem) obejmujące np. pojedyncze czynności świadczone przez osoby fizyczne (w tym pojedyncze usługi programistów bez dostępu do tajemnicy bankowej) lub współpraca obejmująca jednorazowy zakup konkretnego produktu (np. oprogramowanie) 4 . Natomiast tzw. umowy ramowe, na podstawie których realizowane są pojedyncze zamówienia, należy traktować jako wykonywane regularnie, czyli umowy te powinny zostać zakwalifikowane jako outsourcingowe w rozumieniu Wytycznych EBA.

W oderwaniu od powyższych kryteriów należy wskazać na określone w pkt 28 Wytycznych EBA negatywne kryteria klasyfikacji Outsourcingu EBA ("Kryteria Negatywne"). Kryteria Negatywne powinny mieć jednak zastosowanie wyłącznie w przypadku, gdy dana współpraca nie jest klasyfikowana jako Powierzenie (tj. dana współpraca podlega wyłącznie rozważaniom w kategoriach klasyfikacji jako Outsourcingu EBA).

W toku oceny danej relacji Bank powinien więc dokonać także analizy mającej na celu ocenę, czy dana funkcja znajduje się w katalogu wyłączeń zawartym w pkt 28 Wytycznych EBA.

W ramach szczegółowego definiowania zakresu wyłączeń określonego w pkt 28 Wytycznych EBA można posłużyć się pomocniczo ugruntowanymi w polskim piśmiennictwie prawniczym kierunkami interpretacyjnymi stosowanymi do Powierzenia oraz wskazanymi przez polski organ nadzoru szczegółowymi przykładami wyłączeń i kierunków interpretacji właściwych dla Powierzenia 5 .

W kontekście powyższego należy wskazać, że zgodnie z pkt 48 Stanowiska UKNF w kontekście pkt 28 Wytycznych EBA aktualna pozostaje Opinia Generalnego Inspektoratu Nadzoru Bankowego z dnia 21 grudnia 2004 r. ("Pismo GINB") 6 . Zgodnie z interpretacją UKNF można ją jednak stosować w części w jakiej nie jest ona sprzeczna z pkt 28 Wytycznych EBA.

Szczególną uwagę należy zwrócić na pkt 28 lit. g Wytycznych EBA. W ramach tego punktu, co do zasady, wyłączone z definicji outsourcingu są usługi, których bank nie mógłby wykonywać samodzielnie. Kryteriami pozwalającymi na kwalifikację danej funkcji jako podlegającej wyłączeniu z definicji outsourcingu są: ekspercka wiedza, poziom wymaganych kwalifikacji, niekiedy certyfikacja oraz umiejętności, których posiadanie jest niezbędne w celu wykonania danej funkcji.

Posiłkując się przykładami wskazanymi w pkt 28 lit. g Wytycznych EBA spod klasyfikacji jako Outsourcingu EBA (w przypadkach innych niż Powierzenie) można wyłączyć między innymi:

a) czynności/usługi wymagające specjalistycznej wiedzy, uprawnień, lub regulowane odrębnymi przepisami prawa, np. obsługa prawna realizowana przez adwokatów/radców prawnych 7 , czynności rzeczoznawców majątkowych, doradców podatkowych oraz usługi doradztwa specjalistycznego (w tym strategicznego, biznesowego lub księgowego).

b) czynności operacyjne niezbędne do prowadzenia codziennej działalności, lub wykonywane przez bank analogicznie jak przez każdego przedsiębiorcę, czyli takie jak:

i. nabywanie usług o charakterze powszechnym (np. usługi cateringowe, medyczne, sprzątania, pocztowe, obsługa recepcji, ochrona bezpieczeństwa budynku, serwisowanie samochodów służbowych, serwisowanie standardowego oprogramowania komputerowego i komputerów),

ii. nabywanie towarów (np. zakup komputerów, czytników, materiałów biurowych, oprogramowania),

iii. korzystanie z mediów (elektryczność, gaz, telefon, woda), które to w innym przypadku nie zostałyby wykonane przez bank.

Podsumowując, w procesie analizy dotyczącej klasyfikacji regulacyjnej współpracy o charakterze outsourcingowym, bank powinien:

a) przeanalizować daną relację (w tym wszystkie składające się na nią funkcje) z punktu widzenia Kryteriów Powierzenia (biorąc pod uwagę ewentualne wyłączenia określone w literaturze i interpretacjach organów nadzoru);

b) jeżeli w oparciu o Kryteria Powierzenia dana relacja nie będzie klasyfikowana jako Powierzenie to bank powinien ją przeanalizować w zakresie Outsourcingu EBA oraz Kryteriów Negatywnych.

C. Jaki jest zakres umów, które należy przeanalizować pod kątem stosowania Wytycznych EBA?

Należy zwrócić uwagę na szeroki zakres definicji Outsourcingu EBA. Zgodnie z Wytycznymi EBA, obejmuje ona umowę w dowolnej formie, zawartą pomiędzy bankiem a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez bank. Przy czym, jak wskazano powyżej, czynności te powinny być wykonywane przez dostawcę na bieżąco lub w sposób ciągły, a nie jednorazowo dla potrzeb realizacji określonej czynności.

W celu zapewnienia zgodności wewnętrznych regulacji i umów z zewnętrznymi dostawcami z Wytycznymi EBA, należy dokonać analizy wszystkich umów, które dotyczą funkcji wykonywanych przez podmioty trzecie dla banku.

D. Czy przepisy Prawa Bankowego znajdujące zastosowanie do Powierzenia w rozumieniu tych przepisów powinny być stosowane w stosunku do umów kwalifikowanych wyłącznie jako outsourcing w rozumieniu Wytycznych EBA?

W przypadku gdy bank dojdzie do wniosku, iż dane zlecenie nie stanowi Powierzenia (outsourcingu w rozumieniu Prawa Bankowego), to bank nie powinien stosować przepisów Prawa Bankowego dotyczących outsourcingu do zlecenia zidentyfikowanego jako wyłącznie Outsourcing EBA.

W tym zakresie, Stanowisko UKNF wskazuje, że: "krajowe przepisy ściśle regulują funkcjonowanie banku jedynie w odniesieniu do części obszaru outsourcingu (Prawo Bankowe), dlatego też należy zwrócić uwagę na interakcję pomiędzy przepisami krajowymi a Wytycznymi EBA i korzystać z obydwu źródeł uregulowania, z zachowaniem hierarchii przepisów".

Zgodnie więc ze Stanowiskiem UKNF co do zasady stosuje się Wytyczne EBA, jako dokument szerzej obejmujący omawianą materię, zaś przepisy Prawa Bankowego powinny być stosowane przez bank tylko wówczas, gdy spełnione zostaną przesłanki uznania danej czynności za Powierzenie.

E. Czy pkt 26 Wytycznych EBA należy rozumieć w ten sposób, iż katalog czynności, które mogą zostać powierzone podmiotom trzecim w ramach umowy outsourcingu jest wyznaczony przez statut banku?

Punkt 26 Wytycznych EBA wskazuje, że banki powinny ustalić, które z umów należy zakwalifikować jako umowy outsourcingowe na podstawie dwóch parametrów: (i) czy zlecana funkcja (lub jej część) jest wykonywana przez dostawcę usług regularnie lub na bieżąco; (ii) czy funkcja ta (lub jej część) mogłaby być samodzielnie wykonywana przez banki, nawet jeżeli nie była ona wykonywana w przeszłości. Wytyczne EBA nie ograniczają zakresu przedmiotowego, o którym mowa powyżej, do czynności wymienionych w statucie Banku.

W naszej ocenie, ograniczenie możliwości outsourcingu poprzez uznanie, że tylko czynności wpisane do statutu banku mogą być jego przedmiotem, jest niezasadne.

F. Czy brak dostępu do danych, które mogłyby podlegać anonimizacji, dotyczących tajemnicy przedsiębiorstwa lub objętych tajemnicą bankową, automatycznie wyklucza uznanie umowy za outsourcing w rozumieniu Wytycznych EBA?

W ramach obu rodzajów outsourcingu (tj. zarówno Powierzenia oraz Outsourcingu EBA), brak dostępu do tajemnicy bankowej nie powinien automatycznie wykluczać uznania danego zlecenia jako outsourcing. Definicja outsourcingu zawarta w Wytycznych EBA odwołuje się jedynie do wykonywania przez dostawcę funkcji, tj. usługi lub zadania, które w przeciwnym razie byłoby realizowane przez sam bank, oraz powtarzalności wykonywania tejże funkcji przez dostawcę (regularnie lub na bieżąco). Dostęp do danych objętych tajemnicą przedsiębiorstwa lub tajemnicą bankową nie powinien determinować uznania danego outsourcingu jako Outsourcingu EBA.

Wskazuje się również, że część czynności, o jakich mowa w art. 6 Prawa Bankowego, które także mogą być zlecane przez bank, może nie być objęta tajemnicą bankową, ponieważ tajemnica bankowa, w myśl art. 104 Prawa Bankowego, obejmuje informacje związane z wykonywaniem czynności bankowych. Jako przykład takiego zlecenia wskazuje się wykonywanie na zlecenie banku czynności związanych z przygotowaniem emisji obligacji.

Podnosi się również, że nawet w wypadku zlecania czynności związanych z czynnościami bankowymi nie w każdym przypadku będzie dochodziło do ujawnienia tajemnicy bankowej (np. zlecenie przez bank podmiotowi zewnętrznemu przeliczania, sortowania, pakowania i oznaczania opakowań banknotów i monet) 8 .

Brak dostępu do danych stanowiących tajemnicę bankową, czy też dotyczących tajemnicy przedsiębiorstwa przez osoby trzecie wykonujące zlecenie na rzecz banku, nie może stanowić warunku wykluczającego kwalifikację tego zlecenia jako Powierzenia lub Outsourcingu EBA zarówno w myśl odpowiednio przepisów Prawa Bankowego, jak i Wytycznych EBA.

G. Czy powierzenie czynności w zakresie wybranych usług specjalistycznych (w tym AML, usług konsultacyjnych, audytu bezpieczeństwa narzędzi IT, reprezentacji przed urzędami, usług windykacyjnych lub wsparcia projektów) stanowi Outsourcing EBA?

Zgodnie z Wytycznymi EBA, outsourcing oznacza umowę na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez sam bank. Co do zasady, wyłączone z definicji outsourcingu EBA są usługi, których bank nie mógłby (w toku normalnych czynności) wykonywać samodzielnie. Jednym z kryteriów pozwalających na kwalifikację danej funkcji jako podlegającej wyłączeniu z definicji outsourcingu, są: ekspercka wiedza, poziom wymaganych kwalifikacji (np. konieczne licencje, certyfikaty, tytuły zawodowe) oraz umiejętności, których posiadanie jest niezbędne do wykonania danej funkcji.

W przypadku, gdy zlecenie danej funkcji objęte będzie katalogiem wyłączeń z pkt 28 Wytycznych EBA, zlecenie to nie powinno być kwalifikowane jako Outsourcing EBA.

Wydaje się, że usługi konsultacyjne oraz reprezentacja przed urzędami (a także wsparcie w organizacji projektów czy zarządzania projektami) można na ogół interpretować jako czynności specjalistyczne, wymagające wiedzy oraz umiejętności niedostępnej dla banku, a tym samym podlegające wyłączeniu, o którym mowa w pkt 28g Wytycznych EBA.

Wśród czynności specjalistycznych można jeszcze wymienić szereg mniej oczywistych przykładów takich jak:

a) usługi świadczone przez rzeczoznawców (wycena nieruchomości, maszyn itp.),

b) usługi telekomunikacyjne (bez dostępu do tajemnicy bankowej),

c) usługi reklamowe lub promocja do niezidentyfikowanych odbiorców (bez dostępu do tajemnicy bankowej),

d) obsługa korespondencji (bez dostępu do tajemnicy bankowej),

e) utylizacja makulatury bankowej (bez dostępu do tajemnicy bankowej).

W zakresie usług konsultacyjnych oraz np. audytu bezpieczeństwa narzędzi IT, należy jednak wskazać, że w przypadku wykonania przez zleceniobiorcę czynności, których wykonania bank (ze względu na posiadane zasoby) mógłby się podjąć samodzielnie, takie zlecenie mogłoby nie mieścić się w katalogu wyłączeń, o którym mowa w pkt 28 Wytycznych EBA.

W zakresie reprezentacji przed urzędami, przede wszystkim rozumieć należy podejmowanie czynności w imieniu i na rzecz banku przed organami administracji publicznej, w granicach udzielonego pełnomocnictwa. Tego rodzaju czynności objęte są wyłączeniem, o którym mowa w pkt 28g Wytycznych EBA ("udzielanie opinii prawnej i reprezentacja przed sądem i organami administracyjnymi").

Czynności w zakresie AML, zgodnie z ustawą z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2019 r. poz. 971, t.j. z 2020 r. z późn. zm.) ("Ustawa AML"), mogą być wykonywane przez samą instytucję zobowiązaną, w szczególności w kontekście stosowanych środków bezpieczeństwa finansowego. Z uwagi na fakt, iż bank jest w stanie sam realizować obowiązki wynikające z Ustawy AML, wydaje się, że czynności z zakresu AML nie powinny podlegać wyłączeniu na podstawie pkt 28 Wytycznych EBA, chyba że zakresem ewentualnego powierzenia objęte będą wyłącznie czynności dotyczące doradztwa stricte eksperckiego dla banku (np. opinie prawne, specjalistyczne oceny ryzyka wymagające wysoce technicznych kwalifikacji, certyfikatów niedostępnych w banku np. w zakresie ryzyka systemów IT w kontekście AML - zwłaszcza, gdy nie obejmują dostępu do danych objętych tajemnica bankową, zewnętrzne audyty, w tym audyty prawne dotyczące poprawności wykonywania środków bezpieczeństwa finansowego przez Bank). W takim przypadku można rozważać stosowanie odpowiedniego wyłączenia.

W odniesieniu z kolei do usług windykacyjnych, art. 6a ust. 1 pkt 1 Prawa Bankowego bezpośrednio wskazuje na możliwość Powierzenia tychże czynności podmiotom zewnętrznym. Zatem, zgodnie ze Stanowiskiem UKNF, wskazującym iż Wytyczne EBA stosuje się względem każdego outsourcingu zidentyfikowanego przez bank jako Powierzenie, należy uznać, że czynności windykacyjne zlecane przez bank osobom trzecim stanowią outsourcing w rozumieniu Wytycznych EBA. Przy czym z czynności tych wyłączyć należy czynności realizowane przez adwokatów i radców prawnych w ramach świadczonej pomocy prawnej.

H. Czy dostawca usług, który uzyskuje dostęp do danych objętych tajemnicą bankową może być objęty wyłączeniem, o którym mowa w pkt 28 Wytycznych EBA?

W przypadku zlecenia przez bank wykonywania funkcji, które powiązane są z dostępem do tajemnicy bankowej, takie zlecenie najczęściej będzie stanowić Powierzenie w rozumieniu przepisów Prawa Bankowego. Inna kwalifikacja takiej relacji powodowałaby konieczność zidentyfikowania innej podstawy do udostępnienia tajemnicy bankowej.

Taką podstawą będzie np. art. 104 ust. 2 pkt 3 Prawa Bankowego, który wskazuje, że obowiązek zachowania tajemnicy bankowej nie dotyczy przypadków, w których następuje udzielenie informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz banku. Z kolei pkt 28 lit. g Wytycznych EBA wskazuje bezpośrednio, że za Outsourcing EBA nie uznaje się świadczenia usług w zakresie udzielenia opinii prawnej i reprezentacji przed sądem i organami administracyjnymi. Powyższe prowadzi do wniosku, iż świadczenie usług prawnych mimo udostępnienia danych stanowiących tajemnicę bankową nie mogą być kwalifikowane jako Powierzenie oraz Outsourcing EBA.

Każde Powierzenie w rozumieniu przepisów Prawa Bankowego powinno być traktowane jako Outsourcing EBA (zgodnie z pkt 3 Stanowiska UKNF). Z tego względu, niezależnie od możliwości wystąpienia czynników o których mowa w pkt 28g Wytycznych EBA, zastosowanie tego wyłączenia w takim przypadku może być utrudnione.

Ponadto, Stanowisko UKNF wskazuje, że Wytyczne EBA należy stosować, o ile nie są sprzeczne z powszechnie obowiązującymi przepisami prawa. W opisanej sytuacji trudno byłoby przyznać prymat Wytycznym EBA przed przepisami Prawa Bankowego.

I. Czy powierzenie czynności w zakresie human resources lub gospodarki własnej stanowi outsourcing w rozumieniu Wytycznych EBA?

Z uwagi na fakt, iż bank jest w stanie samodzielnie wykonywać funkcje z zakresu human resources oraz gospodarki własnej, wydaje się, że powierzenie tych czynności powinno być kwalifikowane jako spełniające definicję Outsourcingu EBA.

UKNF w pkt XII Stanowiska wymienia zadanie zarządzania zasobami ludzkimi jako jeden z rodzajów outsourcingu. Wskazuje jednocześnie, że w ramach przyjętej przez bank polityki zarządzania zasobami ludzkimi oraz w oparciu o podjęte samodzielnie przez zarząd decyzje kierunkowe, dopuszcza się możliwość zawarcia innej niż agencyjna umowy cywilnoprawnej, której przedmiotem będzie powierzenie cząstkowych czynności w ramach procesów zarządzania zasobami ludzkimi, np.:

a) przygotowania wzorów umów, zmian, wypowiedzeń umów, wypowiedzeń zmieniających,

b) naliczania składników wynagrodzeń,

c) naliczania innych świadczeń związanych z zatrudnieniem (np. odpraw emerytalnych),

d) inicjowania i obsługi procesu rekrutacji,

e) szkoleń.

W zakresie human resources, należy jednak wskazać, iż istnieje zbiór czynności o charakterze specjalistycznym, których bank nie byłby w stanie wykonać samodzielnie, przez co czynności tych nie należałoby kwalifikować jako outsourcingu. Do katalogu tych czynności należy np. przeprowadzenie specjalistycznych szkoleń dla pracowników, w tym szkoleń, w których udział prowadzi do zdobycia certyfikatu potwierdzającego nabyte umiejętności (np. certyfikat CAMS w zakresie znajomości regulacji AML) lub wsparcie wykwalifikowanego eksperta. Przy tego rodzaju czynnościach, bank może posłużyć się wyłączeniem z pkt 28 lit. g Wytycznych EBA.

Odnosząc się zaś do czynności z zakresu gospodarki własnej, należy wskazać, że standardowo do katalogu tych czynności zaliczamy obsługę środków trwałych i ich amortyzacji, a także obsługę płac oraz kosztów działalności. Z samej natury tego typu czynności (czynności niezbędne do prowadzenia działalności instytucji kredytowej) należy wywieść, iż zlecenie wykonywania części tych czynności na zewnątrz powinno stanowić outsourcing. Przy czym, w sytuacji w której bank będzie zmuszony do wykonania specjalistycznych analiz w zakresie gospodarki własnej, do których nie posiada wewnętrznych kompetencji (specjalistyczne czynności w zakresie IT, obejmujące np. zaprojektowanie programu niezbędnego do obsługi płac przez bank) należy wskazać, że w tym zakresie bank może posłużyć się wyłączeniem o którym mowa w pkt 28 lit. g) Wytycznych EBA.

J. Czy pojęcie usługodawcy z Wytycznych EBA należy traktować jako tożsame z pojęciem przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. prawo przedsiębiorców (Dz. U. z 2019 r. poz. 1292, tj. z 2019 r. z późn. zm.) ("Prawo Przedsiębiorców")? Czy pojęcie usługodawcy obejmuje również osoby fizyczne nieprowadzące działalności gospodarczej?

Zgodnie z definicją usługodawcy wskazaną w Wytycznych EBA, przez usługodawcę należy rozumieć każdy podmiot trzeci wykonujący dane funkcje na zasadzie outsourcingu. Wytyczne EBA, w odróżnieniu od Prawa Bankowego, nie odnoszą się wprost do zawodowego i profesjonalnego charakteru działalności, w ramach której dostawca realizuje zlecone przez bank czynności (proces, usługa lub działanie). Niemniej w sekcji 12.3 wskazują szereg wymagań, które mogą sugerować, że dotyczą one przede wszystkim (jeśli nie wyłącznie) podmiotów profesjonalnych.

Zgodnie z pkt 71 Wytycznych EBA czynniki, które należy uwzględnić podczas analizy due diligence potencjalnego dostawcy usług, obejmują między innymi:

a. jego model biznesowy, charakter, skalę, złożoność, sytuację finansową, strukturę własnościową i grupy;

b. długoterminowe relacje z dostawcami usług, którzy zostali już poddani ocenie i świadczą usługi na rzecz instytucji i instytucji płatniczej;

c. czy dostawca usług jest jednostką dominującą lub zależną instytucji lub instytucji płatniczej, czy jest objęty zakresem konsolidacji instytucji na potrzeby rachunkowości lub jest członkiem lub stanowi własność instytucji będących członkami tego samego instytucjonalnego systemu ochrony, do którego należy instytucja;

d. czy dostawca usług jest nadzorowany przez właściwe organy.

Trudno zatem byłoby osobie fizycznej nieprowadzącej działalności gospodarczej spełnić te kryteria.

Ponadto w przypadku funkcji krytycznych i istotnych (pkt 70 Wytycznych EBA) dostawca usług powinien posiadać reputację biznesową, odpowiednie i wystarczające umiejętności, fachową wiedzę, zdolność, zasoby (np. ludzkie, informatyczne, finansowe), strukturę organizacyjną oraz, w stosownych przypadkach, wymagane zezwolenia regulacyjne lub rejestrację (wymagane zezwolenia regulacyjne) na potrzeby wykonywania krytycznej lub istotnej funkcji w sposób wiarygodny i profesjonalny. Powyższe kryteria wskazują, że są adresowane i mogą być spełnione wyłącznie przez podmioty zawodowo trudniące się określonymi rodzajami działalności. To z kolei prowadzi do wniosku, że na gruncie prawa polskiego kryteria te mogą być spełnione wyłącznie przez podmiot posiadający status przedsiębiorcy. Finalnie zatem, pomimo braku wyraźnego uregulowanie tej kwestii w Wytycznych EBA, umowy cywilnoprawne zawierane z osobami fizycznymi należałoby uznać za wyłączone z zakresu Wytycznych EBA.

Powyższe podejście byłoby spójne z podejściem do kwestii powierzenia przetwarzania danych osobowych przedsiębiorcom i upoważniania stażystów, praktykantów oraz osób współpracujących na podstawie stosunku cywilnoprawnego. Analogicznie jak Wytyczne EBA wobec dostawcy, również przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ("RODO") definiują liczne wymagania wobec procesora, nie wskazując, że procesorem może być jedynie podmiot profesjonalny. W praktyce jednak umowy powierzenia danych zawierane są z podmiotami prowadzącymi działalność gospodarczą, zarówno w formie jednoosobowej działalności gospodarczej, jak i spółki. Z kolei osobom fizycznym, będącym quasi-pracownikami, współpracującymi na podstawie stosunku cywilnoprawnego, udziela się upoważnienia do przetwarzania danych.

Przedmiotowe podejście znajduje uzasadnienie w poniższym stanowisku zamieszczonym w publikacji Ochrona danych osobowych w miejscu pracy Poradnik dla pracodawców na stronie Urzędu Ochrony Danych Osobowych 9 . Często rodzi się pytanie, w jakich ramach prawnych osoby fizyczne wykonujące usługi na podstawie umów cywilnoprawnych (...) mogą uzyskiwać dostęp do danych osobowych będących w dyspozycji podmiotu zatrudniającego te osoby w tych formach. (...) W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie tak zatrudnione osoby w efekcie przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, również należy uznać upoważnienie, jako warunek dopuszczający przetwarzanie danych.

Należy również zwrócić uwagę na fakt, że okoliczność, czy dostawca jako osoba fizyczna nieprowadząca działalności gospodarczej wykonuje określone czynności na podstawie umowy zlecenia, nie powinna automatycznie wskazywać, że bank ma do czynienia z outsourcingiem. Jak wskazuje treść pisma UKNF z dnia 18 grudnia 2019 r. 10 ("Pismo UKNF dot. zatrudnienia"), przepisy Prawa Bankowego, jak również inne akty prawne regulujące działalność banków, w tym Wytyczne EBA, nie wskazują wymaganej formy zatrudnienia w relacji bank - podmiot trzeci, a w szczególności nie nakazują wykonywania na rzecz banków usług wyłącznie na podstawie umowy o pracę. Przepisy nie wspominają w szczególności o stosunku pracy, który wskazywałby wprost na konieczność poddania zatrudnienia osób będących dostawcami usług przepisom prawa pracy. Z punktu widzenia obowiązujących przepisów prawa, stosunek pracy nie jest wymaganą i jedyną podstawą zatrudnienia w banku. Tym samym, osoba fizyczna wykonująca dla banku czynności na podstawie umowy cywilnoprawnej (np. umowy zlecenia), może być rozpatrywana w kategorii zatrudnienia, i nie powinna podlegać reżimowi outsourcingu.

K. Czy Wytyczne EBA należy stosować względem umów stanowiących outsourcing jedynie w rozumieniu art. 6a Prawa Bankowego?

Wytyczne EBA (co potwierdza rozdział I Stanowiska UKNF) - należy stosować zarówno do umów stanowiących wyłącznie Outsourcing EBA, jak i umów stanowiących Powierzenie w rozumieniu przepisów Prawa Bankowego.

Zgodnie z pkt 1 Stanowiska UKNF, ramy prawne outsourcingu dopuszczalnego w działalności bankowej przyjęte na potrzeby Stanowiska UKNF są zawarte w pierwszej kolejności w Prawie Bankowym oraz dodatkowo w Wytycznych EBA. Zgodnie zaś z pkt 4 Stanowiska UKNF, co do zasady należy stosować Wytyczne EBA jako szerzej ujmujące obszar dotyczący outsourcingu.

Tym samym, w przypadku outsourcingu zidentyfikowanego wyłącznie jako Outsourcing EBA, zastosowanie znajdą wyłącznie Wytyczne EBA. W przypadku outsourcingu zidentyfikowanego jako Powierzenie, zastosowanie znajdą przepisy Prawa Bankowego oraz Wytyczne EBA 11 .

L. Czy wszystkie umowy zawierane przez bank powinny być sprawdzane "pod kątem outsourcingu" zgodnie z Wytycznymi EBA?

Szeroka definicja outsourcingu wg Wytycznych EBA obejmuje umowę w dowolnej formie, zawartą pomiędzy bankiem a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez bank.

Zgodnie z pkt 26. Wytycznych EBA banki powinny ustalić, czy umowa zawarta z osobą trzecią wchodzi w zakres definicji outsourcingu. W ramach tej oceny należy ocenić czy funkcja (lub jej część) zlecana na zasadzie outsourcingu dostawcy usług jest przez niego wykonywana ad hoc czy na bieżąco oraz czy funkcja ta (lub jej część) zasadniczo wchodzi w zakres funkcji, które byłyby lub mogłyby rzeczywiście być wykonywane przez bank, nawet jeżeli ten bank nie wykonywał takiej funkcji w przeszłości.

W celu zapewnienia zgodności z Wytycznymi EBA i przepisami Prawa Bankowego, należy dokonać analizy wszystkich umów zawartych z osobami trzecimi, które dotyczą funkcji wykonywanych przez te podmioty dla banku.

II. Okres przejściowy - terminy wdrożenia

A. W jakim zakresie banki powinny wdrożyć Wytyczne EBA we wskazanym przez UKNF terminie 28 grudnia 2020 r.?

Zgodnie z pkt 13 Wytycznych EBA, Wytyczne te mają zastosowanie od dnia 30 września 2019 r., do wszystkich umów outsourcingu zawartych, odnowionych lub zmienionych po tej dacie.

UKNF zakomunikował uczestnikom rynku, iż jego oczekiwaniem jest, aby banki dostosowały się do Wytycznych EBA w terminie do 30 czerwca 2020 r. 12 Jednakże, w związku z nadzwyczajną sytuacją wywołaną pandemią wirusa COVID-19 w Polsce, UKNF wydał Pakiet Impulsów Nadzorczych na rzecz Bezpieczeństwa i Rozwoju ("PIN"), w ramach którego zadeklarował, przesunięcie w czasie o pół roku termin dostosowania się banków do Wytycznych EBA 13 .

Zgodnie z treścią Stanowiska UKNF oraz PIN, na dzień 28 grudnia 2020 r. banki powinny wdrożyć Wytyczne EBA przede wszystkim w zakresie umożliwiającym realizację Wytycznych EBA w przypadku zawierania lub zmiany umowy. Z kolei w przypadku już istniejących umów, należy zapewnić ich dostosowanie do Wytycznych EBA w terminie do 31 grudnia 2021 r.

W praktyce, należy przygotować regulacje wewnętrzne obejmujące w szczególności politykę outsourcingu ze wszystkimi jej obligatoryjnymi elementami wskazanymi w sekcji 7 Wytycznych EBA, tj. metodykę: oceny ryzyka umowy, oceny krytyczności/istotności, due diligence dostawcy. W miarę możliwości także wskazane byłoby przygotowanie do ww. daty wzorców aneksów, zmodyfikowanych wzorców umów Powierzenia zgodnie z przepisami Prawa Bankowego (w szczególności w zakresie umów zawieranych na bieżąco, na dużą skalę, np. z pośrednikami kredytowymi albo przynajmniej klauzule, które w przypadku aneksowania będzie można wprowadzić do już funkcjonujących umów). Istotną kwestią jest zmodyfikowanie rejestrów umów, tak aby spełniały wymogi wskazane w sekcji 11 Wytycznych EBA i umożliwiały wprowadzenie obligatoryjnych danych zgodnie z pkt 54 i 55 Wytycznych EBA. Dane te należy wprowadzać do rejestru sukcesywnie podczas dostosowywania umów, nie później niż do 31 grudnia 2021 r.

B. Jakie zasady należy stosować do umów kwalifikowanych jako umowy outsourcingu w rozumieniu Prawa Bankowego oraz Wytycznych EBA w okresie przejściowym?

Zgodnie ze Stanowiskiem UKNF, postanowienia Wytycznych EBA mają zastosowania do umów outsourcingu zawartych, odnowionych lub zmienionych po 30 września 2019 r. Termin ten - zgodnie z pkt 5 Stanowiska UKNF - "należy rozumieć jako nie później, niż 30 czerwca 2020 r.". PIN przesunął o pół roku okres wdrożenia Wytycznych EBA. Oznacza to, że wskazany fragment (pkt 5) Stanowiska UKNF należy czytać: "(...) nie później, niż 28 grudnia 2020 r.".

W praktyce oznacza to, że wszelkie umowy zawierane, odnawiane lub zmieniane po 28 grudnia 2020 r., powinny spełniać wszystkie wymogi wynikające z Wytycznych EBA.

Stanowisko UKNF wskazuje jeszcze jedną wytyczną względem stosowania Wytycznych EBA w okresie przejściowym. Zgodnie bowiem z pkt 7 Stanowiska UKNF: "postanowienia Wytycznych EBA dotyczącej dokumentacji związanej z zawartymi umowami, zakładają, że dokumentacja będzie uzupełniana przy zmianie umowy. Przewidują okres przejściowy do 31 grudnia 2021 r., w czasie którego dokumentacja ma zostać uzupełniona, także gdy umowa nie była zmieniana."

W praktyce oznacza to, że wszelkie umowy outsourcingu, które zostały zawarte przez bank przed terminem 28 grudnia 2020 r., powinny zostać zaktualizowane do wymogów Wytycznych EBA najpóźniej w terminie do 31 grudnia 2021 r., nawet, jeśli umowa nie była do tego czasu w żaden sposób zmieniana. W pozostałym zakresie (tj. w sytuacji, gdy umowa zostaje zmieniona) to zawarta przez bank wcześniej umowa powinna być dostosowana do wymogów Wytycznych EBA w momencie jej zmiany. Dokonując przeglądu zawartych wcześniej umów pod kątem outsourcingu, banki powinny w pierwszej kolejności zbadać umowy, które nie były rozpatrywane pod kątem outsourcingu, w celu uniknięcia potencjalnej niezgodności z obowiązującymi regulacjami. W następnej kolejności, banki powinny zbadać te umowy, które zostały zawarte przed wskazanym terminem.

C. Nowy rejestr umów outsourcingowych według Wytycznych EBA. Jak należy rejestrować umowy zawarte przed 1 października 2019 r. wg aktualnie obowiązującego Stanowiska UKNF przed 1 lipca 2020 r.?

Zgodnie ze Stanowiskiem UKNF oraz treścią Pakietu Impulsów Nadzorczych na rzecz Bezpieczeństwa i Rozwoju w obszarze rynku kapitałowego, z dniem 28 grudnia 2020 r., banki są zobowiązane do wdrożenia wszystkich wymogów wynikających z Wytycznych EBA.

W związku z powyższym, umowy zawarte przed 1 października 2019 r. (a więc przed 28 grudnia 2020 r.), powinny zostać umieszczone w rejestrze w ramach zmiany umowy, lub - jeżeli umowa nie była zmieniana - najpóźniej z dniem 31 grudnia 2021 r.

Natomiast, umowy zawarte po 28 grudnia 2020 r. powinny zostać zarejestrowane wraz z ich zawarciem.

III. Zasada proporcjonalności wg Wytycznych EBA

A. Czy banki spółdzielcze mogą postanowić o wyłączeniu stosowania niektórych wytycznych zgodnie z zasadą proporcjonalności?

Zgodnie z pkt 19 Wytycznych EBA, banki stosując wymogi określone w treści Wytycznych EBA, powinny uwzględniać złożony charakter funkcji zlecanych na zasadzie outsourcingu, ryzyko wynikające z umowy outsourcingu, krytyczne lub istotne znaczenie funkcji zlecanej na zasadzie outsourcingu oraz potencjalny wpływ outsourcingu na ciągłość wykonywanej działalności.

Wytyczne EBA nie odnoszą się do zakresu Wytycznych EBA jaki może zostać "wyłączony" ze stosowania przez np. banki spółdzielcze.

Wydaje się, że banki spółdzielcze stosując EBA mogą zadecydować o stosowaniu niektórych wytycznych z mniejszą intensywnością, niż pozostałe banki. Ponadto Wytyczne EBA w zakresie zarządzania wewnętrznego, wskazują pośrednio, że "istotne instytucje powinny posiadać bardziej wyrafinowane zasady zarządzania, natomiast mniejsze i mniej złożone instytucje mogą wdrożyć prostsze zasady zarządzania". Takie uproszczenia i ograniczenia w zakresie stosowania Wytycznych EBA nie powinny jednak prowadzić do braku realizacji celów postawionych Wytycznym EBA. Zgodnie z pkt 18 Wytycznych EBA, celem zasady proporcjonalności jest zapewnienie, aby zasady zarządzania, w tym te dotyczące outsourcingu, były spójne z indywidualnym profilem ryzyka, charakterem i modelem biznesowym banku oraz skalą i złożonością jej działalności, tak aby skutecznie osiągnąć cele wymogów regulacyjnych. Tym samym, do decyzji banku spółdzielczego należy uznanie, które postanowienia Wytycznych EBA mogą one stosować z mniejszą intensywnością.

Zgodnie z odpowiedzią EBA udzieloną na pytanie nr. 2 w Summary of responses to the consultation and of the EBA's analysis ("EBA Q&A" 14 ), stosowanie zasady proporcjonalności nie oznacza, iż niektóre wymogi Wytycznych EBA nie znajdują zastosowania względem danych podmiotów. Stosowanie zasady proporcjonalności oznacza, iż banki powinny dostosować się do wymogów Wytycznych EBA w sposób proporcjonalny i z zachowaniem należytej staranności.

B. Czy instytucja jest bezwzględnie obowiązana do przeprowadzenia kontroli u dostawcy?

Zgodnie z pkt 100 Wytycznych EBA, banki na bieżąco monitorują wyniki działalności dostawców usług w odniesieniu do wszystkich umów outsourcingu, stosując podejście oparte na ryzyku, przy czym główny nacisk kładą na outsourcing krytycznych lub istotnych funkcji, w tym na zapewnienie dostępności, integralności i bezpieczeństwa danych i informacji.

Zgodnie ze Stanowiskiem UKNF, bank powierzający wykonywanie czynności powinien posiadać dostateczne zasoby i zdolność do sprawowania kontroli nad czynnościami powierzonymi i zapewnienia ich zgodności z obowiązującymi przepisami prawa, standardami nadzorczymi i zobowiązaniami wynikającymi z umowy outsourcingu 15 .

Intensywność danej kontroli zależy od zlecanej funkcji, danej umowy oraz profilu dostawcy. Bank dokonuje kontroli u dostawcy zgodnie z zasadą proporcjonalności, nie oznacza to jednak, iż jest on bezwzględnie zobowiązany do dokonania kontroli w lokalu dostawcy. W świetle Wytycznych EBA ważne jest, aby zapewnić możliwość dokonania kontroli u dostawcy. Wytyczne EBA podkreślają możliwość stosowania analizy opartej na ryzyku celem określenia intensywności, częstotliwości czy głębokości czynności oceny, monitorowania i kontroli dostawcy. Ma to zastosowanie w planowaniu i prowadzeniu takich kontroli. Zatem, tryb, zakres, częstotliwość kontroli dostawcy powinna być uzależniona od oceny ryzyka umowy, w tym w szczególności zakresu zlecanych czynności, krytyczności umowy oraz oceny ryzyka dostawcy.

W tym zakresie, wskazujemy dodatkowo, że zgodnie z pkt 91 oraz 92 Wytycznych EBA, podmioty nadzorowane mogą w celu kontroli stosować certyfikaty i sprawozdania osoby trzeciej oraz zbiorcze audyty. W związku z tym wydaje się, że np. w zakresie bezpieczeństwa systemów dostawców, w których przetwarzane są dane klientów banków, można bazować na specjalistycznych audytach odpowiednich podmiotów zewnętrznych przeprowadzanych na zlecenie dostawcy, lub banku, zgodnie z postanowieniami umowy zawartej pomiędzy bankiem a dostawcą.

Kontrola dostawcy niekoniecznie musi być kontrolą przeprowadzoną w jego siedzibie lub placówkach. W związku z rozwojem nowych technologii i możliwością wykonywania wielu zleconych czynności zdalnie, w niektórych przypadkach przeprowadzenie kontroli w siedzibie dostawcy byłoby niecelowe.

C. Czy istnieje katalog podmiotów zwolnionych od stosowania Wytycznych EBA?

W pkt 7 Wytycznych EBA znajduje się katalog podmiotów zobowiązanych do ich stosowania. Nie istnieje jednak katalog podmiotów zwolnionych od stosowania Wytycznych EBA.

Wytyczne EBA skierowane są do właściwych organów określonych w art. 4 ust. 1 pkt 40 rozporządzenia (UE) nr 575/20135, w tym Europejskiego Banku Centralnego w odniesieniu do spraw związanych z powierzonymi mu zadaniami zgodnie z rozporządzeniem (UE) nr 1024/20136; instytucji kredytowych określonych w art. 4 ust. 1 pkt 3 rozporządzenia (UE) 575/2013; instytucji płatniczych określonych w art. 4 ust. 4 dyrektywy (UE) 2015/2366 oraz instytucji pieniądza elektronicznego w rozumieniu art. 2 ust. 1 dyrektywy 2009/110/WE, dostawcy świadczący usługę dostępu do informacji o rachunku, którzy świadczą jedynie usługę, o której mowa w załączniku I pkt 8 do dyrektywy (UE) 2015/2366 nie są objęci zakresem stosowania niniejszych wytycznych zgodnie z art. 33 tej dyrektywy.

Należy przy tym zwrócić uwagę, że poza instytucjami wymienionymi wprost w pkt 7 i 8 Wytycznych EBA, Wytyczne należy stosować również względem biur maklerskich, co zostało potwierdzone w treści Pakietu Impulsów Nadzorczych na rzecz Bezpieczeństwa i Rozwoju w obszarze rynku kapitałowego (PIN 2) 16 . Biura maklerskie są ponadto objęte przepisami ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2020 r. poz. 89, tj. z 2020 r.) ("UoB") oraz rozporządzenia delegowanego Komisji (UE) 2017/565 z dnia 25 kwietnia 2016 r. uzupełniającego dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy ((Dz. Urz.UE.L Nr 246, str. 12) ("Rozporządzenie 2017/564"). Zgodnie z interpretacją przyjętą przez Grupę Roboczą, jeżeli Wytyczne EBA nakładają na biura maklerskie bardziej wymagające obowiązki niż wynikające z UoB i Rozporządzenia 2017/564, wówczas pierwszeństwo w stosowaniu powinny mieć Wytyczne EBA. Z kolei jeśli UoB i Rozporządzenie 2017/564 nakładają na biura maklerskie wymogi bardziej zaawansowane niż Wytyczne EBA, wówczas biura obowiązane są stosować przepisy UoB oraz tego rozporządzenia.

IV. Kwalifikacja danej umowy jako krytycznej w rozumieniu Wytycznych EBA

A. Kiedy należy dokonywać oceny krytyczności danej umowy?

Zgodnie z pkt 31 Wytycznych EBA, banki dokonują oceny, czy umowa outsourcingu dotyczy funkcji krytycznej lub istotnej wraz z wynikiem oceny ryzyka, o której mowa w sekcji 12.2. Wytycznych EBA. Powyższe oznacza, iż ocena krytyczności umowy powinna być wykonywana w ramach przeprowadzania oceny ryzyka danej umowy outsourcingowej. Jednocześnie, przeprowadzenie tej oceny powinno zostać poprzedzone ustaleniem, że czynność wykonywana w ramach danej umowy będzie traktowana jako outsourcing. Ocena krytyczności umowy powinna być dokonywana przed analizą due diligence dostawcy, gdyż zgodnie z pkt 69 Wytycznych EBA, analiza due diligence powinna uwzględniać ryzyko operacyjne związane z funkcją, która ma zostać zlecona na zasadzie outsourcingu. Okoliczność ta natomiast jest badana w ramach oceny ryzyka, zgodnie z sekcją 12.2. Wytycznych EBA.

Ponadto, zgodnie z pkt 100 Wytycznych EBA, ocenę krytyczności należy przeprowadzić (ponowić) w przypadku, gdy skala lub charakter funkcji zleconej na zasadzie outsourcingu uległy znacznej zmianie, czyli, jak się wydaje, w praktyce najczęściej przy zmianie danej umowy, o ile dotyczyłaby ona istotnej zmiany zakresu zlecanych czynności, ew. sposobu ich realizacji.

Pod pojęciem "skali" można rozumieć istotny wzrost/spadek liczby określonego rodzaju czynności, co niekoniecznie musi być przedmiotem zmiany umowy, ale na pewno jest monitorowanie przez bank i uwzględniane w wynagrodzeniu dostawcy, które zwykle zależy od wolumenu wykonywanych czynności. W szczególności, należy zwrócić uwagę na pkt 29 lit. a Wytycznych EBA, w którym wskazuje się, że przesłanką uznania za krytyczną lub istotną funkcji zlecanej/zlecanych w ramach umowy byłoby wystąpienie negatywnych skutków błędu w realizacji zleconych funkcji lub braku realizacji tych funkcji, które w sposób istotny zagrażałyby prowadzeniu działalności zgodnie z udzieloną licencją bankową, przepisami regulującymi działalność banków, wynikom finansowym lub niezawodności i ciągłości świadczenia usług bankowych.

Jednocześnie należy zauważyć, że pkt 29 lit. b Wytycznych EBA (dotyczący outsourcingu kontroli wewnętrznej) nie będzie miał zastosowania do banków w Polsce ze względu na zakaz powierzania przewidziany w artykule 6a Prawa Bankowego, który obejmuje zakaz powierzania w zakresie zarządzania bankiem i przeprowadzania audytu wewnętrznego.

B. Czy kwalifikacja funkcji jako krytycznych w rozumieniu Dyrektywy Parlamentu Europejskiego i Rady 2014/59/UE z dnia 15 maja 2014 r. ustanawiająca ramy na potrzeby prowadzenia działań naprawczych oraz restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych ("BRRD") stanowi o automatycznej kwalifikacji danej umowy jako krytycznej?

Zgodnie z pkt 30 Wytycznych EBA, dokonując oceny krytyczności, należy zwrócić w szczególności uwagę na funkcje, które są związane z głównymi liniami biznesowymi i funkcjami krytycznymi, zgodnie z definicja z pkt 35 i 36 BRRD.

Nie oznacza to jednak, że każda funkcja, która została zidentyfikowana jako związana z głównymi liniami biznesowymi i funkcjami krytycznymi zgodnie z pkt 35 i 36 BRRD, stanowi automatycznie funkcję krytyczną w rozumieniu Wytycznych EBA.

Zgodnie bowiem z pkt 30 Wytycznych EBA (zd. 2), krytyczność funkcji jest wyłączona, gdy " (...) w wyniku oceny dokonanej przez instytucje okaże się, że niewykonanie funkcji (...) nie będzie miało niekorzystnego wpływu na ciągłość operacyjną głównych linii biznesowych lub funkcji krytycznych." Oznacza to, że pkt 30 Wytycznych EBA uznaje funkcję w rozumieniu BBRD za funkcję krytyczną w rozumieniu Wytycznych EBA dopiero wtedy, gdy:

a) funkcje stanowią część głównych linii biznesowych lub funkcji krytycznych w rozumieniu BRRD,

b) i jednocześnie utrata ciągłości tych funkcji zagraża ciągłości głównych linii biznesowych lub funkcji krytycznych w rozumieniu BRRD.

Tym samym, kwalifikacja danej czynności jako "części" funkcji krytycznych w rozumieniu BRRD nie przesądza o tym, że bank ma do czynienia z funkcją krytyczną w rozumieniu Wytycznych EBA.

Dodatkowo, należy zwrócić uwagę na fakt, że funkcja może być uznana za funkcję krytyczną w rozumieniu Wytycznych EBA także z innych powodów, np. w przypadku, gdy niepowodzenie w jej wykonaniu zagrażałoby wynikom finansowym banku (zgodnie z pkt 29 lit. a) ppkt ii Wytycznych EBA) albo utracie reputacji banku (zgodnie z pkt 31 lit. b) ppkt iv Wytycznych EBA).

Tym samym, należy uznać, że:

a) nie każda funkcja stanowiąca funkcję krytyczną w rozumieniu Wytycznych EBA będzie stanowić automatycznie funkcję krytyczną w rozumieniu BRRD,

b) oraz odwrotnie, nie każda funkcja stanowiąca funkcję krytyczną w rozumieniu BRRD będzie stanowić automatycznie funkcję krytyczną w rozumieniu Wytycznych EBA.

Przy czym, należy zauważyć, iż zakres przedmiotowy obu tych definicji jest w dużej mierze podobny i może stanowić ważną wskazówkę przy dokonywaniu analizy krytyczności w rozumieniu Wytycznych EBA.

C. Czy ocenę krytyczności należy przeprowadzać wyłącznie w oparciu o zmienne wskazane w pkt 31 Wytycznych EBA, czy też należy brać pod uwagę całość oceny ryzyka (zgodnie z pkt 12.2. Wytycznych EBA)?

Zgodnie z pkt 31 Wytycznych EBA Banki, dokonując oceny umowy outsourcingu pod względem jej krytyczności i istotności, uwzględniają między innymi przynajmniej następujące czynniki:

a) czy umowa outsourcingu dotyczy bezpośrednio świadczenia usług działalności bankowej i usług płatniczych;

b) potencjalny wpływ zakłócenia funkcji zleconych w ramach outsourcingu lub niewykonania przez dostawcę usługi na uzgodnionym gwarantowanym poziomie usług trybie ciągłym na szereg szczegółowych punktów wymienionych w Wytycznych EBA;

c) potencjalny wpływ umowy outsourcingu na zdolność instytucji do identyfikacji, zarządzania i monitorowania ryzykiem, spełnienia wszystkich wymogów prawnych i regulacyjnych, przeprowadzenia stosownych audytów;

d) potencjalny wpływ na usługi świadczone na rzecz klientów;

e) wszelkie umowy outsourcingu, łączna ekspozycja instytucji lub instytucji płatniczej na tego samego dostawcę usług oraz potencjalny łączny wpływ umów outsourcingu w tym samym obszarze działalności;

f) rozmiar i złożoność danego obszaru działalności, możliwość rozszerzenia zakresu proponowanej umowy outsourcingu bez zastępowania;

g) możliwość rozszerzenia zakresu proponowanej umowy outsourcingu bez zastępowania lub zmiany umowy bazowej;

h) zdolność do przeniesienia proponowanej umowy outsourcingu na innego dostawcę usług, jeżeli jest to niezbędne lub pożądane, zarówno na podstawie umowy jak i w praktyce, w tym szacunkowe ryzyko, przeszkody dla ciągłości działania, koszty i ramy czasowe z tym związane ("substytucyjność");

i) zdolność do reintegracji funkcji zleconej na zasadzie outsourcingu do banku;

j) ochronę danych i możliwy wpływ naruszenia poufności lub niezapewnienie dostępności i integralności danych.

Czynniki wskazane w pkt 31 Wytycznych EBA są to podstawowe zmienne, które powinny zostać wzięte pod uwagę podczas oceny krytyczności - wskazuje na to słowo "przynajmniej" użyte w tym punkcie. Uprawnione wydaje się więc wykorzystanie przez bank ewentualnych dodatkowych czynników wybranych przez Bank. Ponadto zgodnie z pkt 31 Wytycznych EBA w procesie oceny krytyczności należy uwzględnić całościową ocenę ryzyka umowy przeprowadzoną zgodnie z sekcją 12.2 Wytycznych EBA.

D. W jakim terminie należy powiadamiać UKNF o planowanym outsourcingu funkcji krytycznych lub istotnych?

Zgodnie z pkt 58 Wytycznych EBA instytucje odpowiednio terminowo powiadamiają właściwe organy lub nawiązują z nimi dialog w zakresie nadzoru dotyczący planowanego outsourcingu krytycznych lub istotnych funkcji.

Wytyczne EBA nie wskazują w sposób jednoznaczny terminu na powiadomienie organu nadzoru o planowanym outsourcingu funkcji krytycznych lub istotnych. Pojęcie "timely manner" nie zostało również wyjaśnione przez EBA w Q&A EBA.

Z uwagi na brak stanowiska UKNF w tej sprawie, w celu prawidłowego wykonania obowiązków przewidzianych w Wytycznych EBA, należy przyjąć, iż przez "terminowość" rozumie się wykonanie czynności bez zbędnej zwłoki.

Z kolei termin "bez zbędnej zwłoki", w naszej ocenie można rozumieć przez pryzmat art. 35 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256, t.j. z dnia 18 lutego 2020 r.) ("k.p.a."). Określenie "bez zbędnej zwłoki" nie oznacza, że sprawa ma być załatwiona natychmiast, ale tak szybko, jak jest to możliwe 17 , oraz "bez nieuzasadnionego odwlekania tej czynności" 18 .

F. W jaki sposób instytucja powinna prowadzić dialog z organem nadzoru?

Zgodnie ze Stanowiskiem UKNF, dialog z organem nadzoru powinien odbywać się w zwyczajowej formie komunikacji przewidzianej dla kontaktów banków z organem nadzoru. Z uwagi na brak szczegółowych wskazówek w tym zakresie (zarówno w Wytycznych EBA, Stanowisku UKNF oraz przepisach polskiego prawa), taką formą komunikacji może być np. oficjalna korespondencja listowna.

G. Jak należy rozumieć zwrot "właściwe organy" w rozumieniu pkt 59 Wytycznych EBA?

Zwrot "właściwe organy" należy rozumieć zgodnie z brzmieniem pkt 7 Wytycznych EBA, zgodnie z którym termin "właściwe organy" został zdefiniowany w art. 4 ust. 1 pkt 40 Rozporządzenia (UE) nr 575/2013. Przez termin "właściwe organy", należy więc rozumieć Komisję Nadzoru Finansowego, zgodnie z art. 3a ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2020 r. poz. 180, t.j. z dnia 5 lutego 2020 r.).

H. Czy przy ocenie krytycznego lub istotnego znaczenia funkcji outsourcingu należy brać pod uwagę wyłącznie jej cel oraz ogólny charakter, czy też należy odrębnie analizować każdą czynność powierzoną w ramach umowy?

Zgodnie z pkt 27 Wytycznych EBA, w przypadku gdy umowa z dostawcą obejmuje wiele funkcji, w ramach oceny krytyczności lub istotnego znaczenia funkcji outsourcingu należy uwzględnić wszystkie aspekty umowy i rozpatrywać je łącznie.

W związku z powyższym przy ocenie krytycznego lub istotnego znaczenia funkcji powierzone czynności należy analizować łącznie a nie tylko przez pryzmat celu lub ogólnego charakteru.

I. Jak należy rozumieć funkcję krytyczną, która wspiera działalność zależną od czasu? Czy zależność ta stanowi atrybut funkcji krytycznej?

Aby poprawnie wyłożyć znaczenie "zależności od czasu", należy sięgnąć do anglojęzycznej wersji Wytycznych EBA. Zgodnie z pkt 55 Wytycznych EBA, dla funkcji krytycznych i istotnych, rejestr umów powinien zawierać przynajmniej następujące informacje: "whether the outsourced critical or important function supports business operations that are time-critical". Z kolei polska wersja Wytycznych EBA przekłada następujący fragment na: "czy krytyczna lub istotna funkcja będąca przedmiotem outsourcingu wspiera działalność, która jest zależna od czasu".

"Operations that are time-critical" należy rozumieć jako tę działalność banku, w której czynnik czasu ma absolutnie krytyczne znaczenie dla ich skuteczności, powodzenia, jak np. realizacja zleceń płatniczych klientów, lub czynności operacyjne banku, których realizacja musi nastąpić w ściśle określonym czasie (np. z uwagi na zobowiązania wobec klientów, wymogi regulacyjne wynikające z przepisów prawa), a także funkcje, które są wspomagane/realizowane w ramach czynności zlecanych dostawcy. Przykładem wymogu, który jest powiązany z wyrażeniem "operations that are time critical", jest m.in. pkt 59 Wytycznych EBA, zgodnie z którym instytucje lub instytucje płatnicze powinny terminowo informować właściwe organy o istotnych lub poważnych zdarzeniach dotyczących umów outsourcingu.

W przypadku gdyby dana funkcja wykonywana przez podmiot trzeci była ściśle powiązana z "time-critical operations", tj. wspomogłaby wykonanie operacji, które muszą być zrealizowane w określonym czasie i tak, że czas ich realizacji wpływa na powodzenie takiej operacji, należy tę informację zamieścić w rejestrze.

Nie oznacza to, iż "zależność od czasu" stanowi atrybut funkcji krytycznej. Wykładnia językowa przedmiotowego przepisu wskazuje, iż celem europejskiego organu nadzoru było (i) nałożenie na banki obowiązku rejestracji umów dotyczących funkcji krytycznych lub istotnych (ii) które wspierają działalność, której powodzenie, skuteczność jest istotnie zależna od czasu jej wykonania. "Zależność od czasu" powinna być interpretowana w oderwaniu od krytyczności danej funkcji. Niemniej wystąpienie takiego atrybutu jest sygnałem ostrzegawczym, że możemy mieć do czynienia z funkcją krytyczną.

V. Rejestr umów outsourcingowych

A. Jaki jest zakres niezbędnej dokumentacji względem zakończonych umów outsourcingu oraz dokumentacji uzupełniającej? Jakie dokumenty powinny być załączone do rejestru?

W naszej ocenie, w modelu docelowym, dokumenty dołączone do rejestru we właściwym terminie (tj. do 21 grudnia 2021 r., do którego to dnia należy dokonać przeglądu wszystkich umów outsourcingowych), powinny uwzględniać w szczególności następujące elementy:

a) dowód przeprowadzenia oceny ryzyka (pkt 60 Wytycznych EBA),

b) (w ramach przeprowadzonej oceny ryzyka) dowód przeprowadzenia oceny krytyczności danej funkcji (pkt 54 lit. g Wytycznych EBA),

c) dowód przeprowadzenia oceny odpowiedniości dostawcy, tzw. analizy due diligence

dostawcy (pkt 60 Wytycznych EBA),

d) dowód przeprowadzenia monitoringu dostawcy (zgodnie z pkt 60 Wytycznych EBA - raporty z kontroli, notatki/raporty dotyczące nieprawidłowości przy współpracy, dane z bazy zdarzeń operacyjnych dotyczących zdarzeń jakie wystąpiły w związku z realizacją outsourcingu przez dostawcę - to także wymóg Rekomendacji M),

e) dokument umowy (pkt 52 Wytycznych EBA),

f) szacowane roczne koszty budżetowe, w przypadku umów krytycznych i istotnych funkcji (pkt 55 lit. k Wytycznych EBA).

Zgodnie z pkt 52 Wytycznych EBA banki odpowiednio dokumentują wszystkie aktualne umowy outsourcingu dokonując rozróżnienia pomiędzy outsourcingiem funkcji krytycznych i istotnych a pozostałymi umowami outsourcingu. Zgodnie ze zdaniem drugim pkt 52 Wytycznych EBA banki przy uwzględnieniu przepisów prawa krajowego (np. przepisów dotyczących retencji danych wynikających ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu) przechowują w rejestrze przez odpowiedni okres dokumentację zakończonych umów outsourcingu i dokumentację uzupełniającą. Zasadnym wydaje się być rozdzielenie umów outsourcingu na umowy wygasłe (zakończone) oraz czynne.

B. Czy w rejestrze umów outsourcingowych należy przechowywać dokumentację dotyczącą trwających relacji umownych?

Jak wskazano w pkt V. A. powyżej.

C. Czy zawarcie w rejestrze umów outsourcingu informacji zawierającej wynik oceny ryzyka spełnia wymóg, o którym mowa w pkt 55 lit.c. Wytycznych EBA?

Zgodnie z pkt 55 lit.c. Wytycznych EBA, w rejestrze powinna znaleźć się informacja dotycząca daty ostatniej oceny ryzyka i krótkie streszczenie ogólnych jej wyników.

Wydaje się, że umieszczenie w rejestrze wyłącznie wyniku oceny wraz z datą jest działaniem wystarczają-cym do spełnienia wymogu, o którym mowa w pkt 55 lit. c Wytycznych EBA. Zamieszczanie streszczenia ogólnych wyników oceny ryzyka nabierać będzie jednak szczególnego znaczenia w przypadkach obejmujących zmiany w stosunku do pierwotnej oceny ryzyka (np. podwyższenie lub obniżenie oceny ryzyka). W takim wypadku takie streszczenie będzie pełniło rolę zwięzłego uzasadnienia danej zmiany.

VI. Ocena ryzyka umów i dostawcy (due diligence)

A. W jaki sposób należy przeprowadzić ocenę potencjalnego wpływu umów na ryzyko operacyjne, o którym mowa w pkt 65 Wytycznych EBA?

Zgodnie z pkt 65 Wytycznych EBA, w stosownych przypadkach, dokonując oceny ryzyka umów outsourcingu, bank powinien dokonać analizy scenariuszy ewentualnych zdarzeń w postaci mate-rializacji ryzyka, w tym zdarzeń ryzyka operacyjnego mających poważne skutki (ang. high-severity).

Poprzez termin "stosowne przypadki" - co można też przetłumaczyć jako "tam gdzie jest to potrzebne" - należy rozumieć, zgodnie z zasadą proporcjonalności, takie Powierzenie lub Outsourcing EBA, w których bank poweźmie uzasadnione przypuszczenie, że zlecenie danej funkcji na zasadzie outsourcingu może mieć znaczący wpływ na ryzyko operacyjne banku, zmniejszając lub zwiększając narażenie banku na to ryzyko.

Wskazuje na to również treść samych Wytycznych EBA (pkt 65), zgodnie z którymi: "instytucje i instytucje płatnicze, uwzględniając zasadę proporcjonalności (...) szacują zakres, o jaki zwiększy lub zmniejszy się ich ryzyko operacyjne". Warto jednak też zauważyć, że i tu ma zastosowanie zasada proporcjonalności, która dopuszcza w analizie scenariuszowej (w przypadkach o mniejszej istotności) stosowanie podejścia jakościowego, a nie ilościowego. Ten wymóg współbrzmi z wymogami Rekomendacji M, która w Rekomendacji 9 zaleca prowadzenie analiz scenariuszowych dla ryzyka operacyjnego, którego zakres obejmuje też ryzyko generowane przez outsourcing. Takie analizy scenariuszowe dotyczą oceny dla funkcjonowania banku negatywnych skutków niewykonania lub niewłaściwego wykonania umowy (np. powstałe straty, utracone korzyści, wąskie gardła, działanie planów awaryjnych, itp.). Może to wymagać stworzenia scenariusza przez bank na podstawie wkładu informacyjnego z rejestrów zdarzeń operacyjnych (rejestrów strat), zewnętrznych źródeł informacji o stratach, przy uwzględnieniu czynników otoczenia gospodarczego i kontroli, w zakresie dotyczącym wykonania umów przez insourcera.

W ramach oceny, o której mowa powyżej, bank ocenia potencjalny wpływ niewykonania usług lub niewłaściwego jej wykonania, w tym ryzyko związane z procesami, systemami, ludźmi lub zdarzeniami zewnętrznymi. Zgodnie z pkt 65 Wytycznych EBA, banki powinny zasilić analizę scenariuszową dostępnymi wewnętrznymi i zewnętrznymi danymi na temat strat.

Podkreślić należy, że ramach pkt 65 Wytycznych EBA szczególnego znaczenia może nabierać możliwość zastosowania zasady proporcjonalności, zgodnie z którą mniejsze banki, o nieskomplikowanej strukturze organizacyjnej, mogą przeprowadzać ocenę ryzyka operacyjnego opartą na metodach jakościowych zamiast przeprowadzania ilościowej analizy scenariuszowej. Takie podejście jednoznacznie potwierdzają EBA Q&A 19 .

Przykładem sytuacji, w ramach której bank powinien sporządzić analizę scenariuszową, mogą być przypadki zlecenia funkcji:

a) obejmującej wsparcie dla kluczowego systemu bankowego;

b) której niepowodzenie w wykonaniu lub pogorszenie jakości wykonywania mogłyby wpłynąć na ochronę tajemnicy bankowej przez bank;

c) której niepowodzenie w wykonaniu lub pogorszenie jakości wykonywania mogłoby w negatywny sposób wpłynąć na pogorszenie wyników finansowych banku.

B. Z jaką intensywnością bank powinien dokonywać oceny funkcji krytycznych i istotnych?

Zgodnie z pkt 18 Wytycznych EBA banki w ramach ich stosowania uwzględniają zasadę proporcjonalności. Stosując pkt 18 Wytycznych EBA można stwierdzić, że ocena funkcji krytycznych i istotnych powinna być dokonana z intensywnością uwzględniającą charakter i model biznesowy banku, skalę i złożoność jej działalności, a także indywidualny profil ryzyka banku.

Należy zauważyć, że zgodnie z pkt 100 Wytycznych EBA, stosując podejście oparte na ryzyku, banki na bieżąco monitorują czynności realizowane przez dostawców, w odniesieniu do wszystkich umów outsourcingu, przy czym główny nacisk kładą na outsourcing krytycznych lub istotnych funkcji, w tym na zapewnienie dostępności, integralności i bezpieczeństwa danych i informacji.

Zgodnie z pkt 100 Wytycznych EBA jeżeli ryzyko, charakter lub skala funkcji zleconej na zasadzie outsourcingu uległy znacznej zmianie, instytucje i instytucje płatnicze oceniają ponownie krytyczne lub istotne znaczenie danej funkcji zgodnie z sekcją 4.

W świetle powyższego, intensywność działań banku w kontekście oceny funkcji krytycznych lub istotnych powinna opierać się przede wszystkim na ostatecznych wynikach pierwotnej oraz wtórnej oceny ryzyka wykonanej przez bank. Im wyższy poziom ryzyka został przypisany danej funkcji w ramach pierwotnie i cyklicznie wykonywanej oceny ryzyka, tym większe prawdopodobieństwo, że dana funkcja zostanie uznana za krytyczną lub istotną w ramach cyklicznej oceny, a tym samym częstotliwość wykonywania oceny ryzyka powinna być większa. Ponadto, biorąc pod uwagę szczególne znaczenie jakie w Wytycznych EBA przypisuje się funkcjom krytycznym i istotnym wydaje się, że w przypadku umów obejmujących te funkcje częstotliwość wykonywania ich oceny ryzyka także powinna być większa od pozostałych.

W świetle powyższego uzasadnione wydaje się prowadzenie okresowej oceny funkcji pod kątem krytyczności i istotności w przedziałach powiązanych z oceną ryzyka. Na przykład corocznie dla umów dotyczących funkcji krytycznych i istotnych lub umów, dla których ryzyko zostało ocenione jako wysokie, a dla pozostałych w innych dłuższych terminach (np. dwóch lub trzech lat dla umów, których ryzyko zostało ocenione jako średnie lub niskie).

C. Czy ocena ryzyka przewidziana w Wytycznych EBA dla umowy outsourcingu pokrywa się z obowiązkiem sporządzenia planu postępowania z ryzykiem, o którym mowa w art. 81c ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi?

Należy zwrócić uwagę, że rozdział 12.2 Wytycznych EBA dotyczący oceny ryzyka zawiera szerszy zakres kryteriów dotyczących oceny ryzyka niż kryteria, które powinny być uwzględnione w ramach sporządzenia planu postępowania z ryzykiem z art. 81c UoB. Takie rozumienie potwierdzają Q&A EBA, w ramach których wskazuje się, że Wytyczne EBA mają szerszy zakres niż wymogi wskazane w MiFID II 20 .

Ponadto, należy zwrócić uwagę, że sam "plan postępowania" w rozumieniu UoB ma co do zasady częściowo inny charakter od oceny ryzyka w rozumieniu Wytycznych EBA, albowiem obejmuje on określony plan postępowania.

D. W jaki sposób bank może zweryfikować, czy dostawca jest nadzorowany przez właściwe organy w rozumieniu pkt 71 lit. d Wytycznych EBA?

Wytyczne EBA nie precyzują tego w jaki sposób bank powinien zweryfikować czy dostawca jest nadzorowany przez właściwe organy w rozumieniu pkt 71 lit. d Wytycznych EBA.

Bank może korzystać z publicznie dostępnych źródeł, np. z rejestrów udostępnianych przez UKNF, EBA oraz inne właściwe organy. Ponadto Bank może stosować odpowiednie rozwiązania umowne w tym zakresie (np. oświadczenia i zapewnienia).

E. W jaki sposób Wytyczne EBA wpływają na mechanizmy kontroli względem podwykonawców dostawców?

Wytyczne EBA (w pkt 42 lit. d) odnoszą się m.in. do mechanizmów kontroli względem podwykonawców usługodawców.

Zgodnie z pkt 42 lit. d pkt (ii) Wytycznych EBA, polityka outsourcingu banku powinna odnosić się m.in. do procedury otrzymywania powiadomień o zmianach w umowie outsourcingu lub u dostawcy usług (np. dotyczących podoutsourcingu).

W przypadku podoutsourcingu funkcji krytycznych lub istotnych, Wytyczne EBA przewidują wymóg wzmożonej kontroli. Szczegółowe wymogi znajdują się w pkt 78 Wytycznych EBA.

Zgodnie np. z pkt 78 lit. c Wytycznych EBA, jeżeli dopuszcza się podoutsourcing funkcji krytycznych lub istotnych, umowa outsourcingu powinna m.in. wskazywać, że usługodawca jest zobowiązany do nadzorowania tych usług, które zlecił na zasadzie podoutsourcingu w celu zapewnienia, by wszystkie zobowiązania umowne między usługodawca a bankiem były spełniane w sposób nieprzerwany. Zgodnie zaś z pkt 78 lit. e Wytycznych EBA, usługodawca powinien zostać zobowiązany w umowie outsourcingu do informowania banku o jakichkolwiek zmianach dotyczących podoutsourcingu, w szczególności jeżeli może to mieć wpływ na zdolność usługodawcy do wywiązywania się z jego obowiązków wynikających z umowy outsourcingu. Przedmiotowe Wytyczne EBA są bardzo zbliżone do standardowych klauzul umownych wprowadzanych do umów Powierzenia (zawieranych w trybie art. 6a i następne Prawa Bankowego) przewidujących podoutsourcing.

Pkt 80 Wytycznych EBA przewiduje również możliwość wniesienia sprzeciwu przez bank w przypadku, gdy podoutsourcing mógłby mieć istotny niekorzystny wpływ na umowę outsourcingu dotyczącą krytycznej lub istotnej funkcji lub mógłby doprowadzić do znacznego wzrostu ryzyka.

W przypadku umów Powierzenia, zawartych w trybie przepisów Prawa Bankowego, pkt 80 nie będzie miał zastosowania. Umowa podpowierzenia czynności może być zawarta przez dostawcę tylko, o ile pierwotna umowa powierzenia przewiduje taką możliwość. Ponadto zawarcie umowy podpowierzenia uwarunkowane jest uprzednią zgodą banku wyrażoną na piśmie, dotyczącą konkretnego zakresu podpowierzanych czynności i konkretnego poddostawcy. Oprócz spełnienia warunków wskazanych w sekcji 13.3 Wytycznych EBA, podpowierzenie w trybie Prawa Bankowego uzależnione jest od spełnienia przesłanek wskazanych w art. 6c ust. 1, tj. podpowierzenie wykonywania czynności nie wpłynie niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami prawa, ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w banku, możliwość wykonywania obowiązków przez biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na podstawie zawartej z bankiem umowy oraz ochronę tajemnicy prawnie chronionej oraz uwzględnienia przez bank ryzyka związanego z podpowierzeniem wykonywania czynności w systemie zarządzania ryzykiem.

VII. Umowa outsourcingowa

A. Jaka jest relacja między ustawą z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji (Dz. U. z 2019 r. poz. 795, tj. z 2019 r.) ("UoBFG") a Wytycznymi EBA w kontekście restrukturyzacji i likwidacji instytucji?

Wytyczne EBA w pkt 75 wskazują wymagania względem umowy outsourcingu dotyczącej krytycznych lub istotnych funkcji. Wytyczne EBA w pkt 75 lit. o, odwołują się do dyrektywy BRRD (która została transponowana do polskiego porządku prawnego jako UoBFG w 2016 r.). W tym zakresie, Wytyczne EBA wskazują, iż w umowie outsourcingu dotyczącej funkcji krytycznych lub istotnych należy umieścić wyraźne odniesienie do uprawnień organu ds. restrukturyzacji i uporządkowanej likwidacji (wspomniane uprawnienia znalazły swoje odzwierciedlenie m.in. w UoBFG).

Zgodnie ze Stanowiskiem UKNF, co do zasady w przypadku interakcji przepisów krajowych oraz Wytycznych EBA, należy stosować Wytyczne EBA. Jednakże, w sytuacji gdy przepisy krajowe, rekomendacje lub stanowiska interpretacyjne, skierowane przez organ nadzoru do wszystkich banków, zawierają postanowienia bardziej rygorystyczne, należy stosować je w pierwszej kolejności przed Wytycznymi EBA.

W przypadku identyfikacji kolizji Wytycznych EBA z przepisami UoBFG należy stosować przepisy UoBFG przed Wytycznymi EBA. Jest to spowodowane faktem, że przepisy UoBFG są znacznie bardziej szczegółowe i rygorystyczne niż Wytyczne EBA, co zgodnie ze Stanowiskiem UKNF wskazuje na pierwszeństwo ich stosowania w przypadku tego rodzaju kolizji.

B. Jak z punktu widzenia UKNF powinna wyglądać przykładowa graficzna prezentacja umowy? Jakie elementy istotne powinna zawierać? Jaki jest zakres minimum danych prezentowanych w ramach grafu?

Zgodnie ze Stanowiskiem UKNF, w załącznikach do umowy outsourcingowej powinny zostać przedstawione graficzne prezentacje poszczególnych procesów podlegających powierzeniu, wraz ze wskazaniem poszczególnych czynności oraz kroków wykonywanych trakcie procesu, a także ze wskazaniem podmiotu decyzyjnego.

Załączniki te powinny zawierać grafy, co najmniej obrazujące szczegółowy przebieg poszczególnych procesów podlegających powierzeniu (zarówno w przypadku Powierzenia jak i Outsourcingu EBA).

Doświadczenia banków, które przygotowywały tego typu grafy w związku z umowami Powierzenia konsultowanymi z UKNF, wskazują na celowość pokazania w schematach zlecanych procesów etapów, w których następuje realizacja czynności związanych z koniecznością podjęcia decyzji po stronie banku. Jak się wydaje, graficzne prezentacje służyć mają zrozumieniu przebiegu procesów, zwłaszcza tych wieloetapowych i skomplikowanych oraz upewnieniu, że wszelkie czynności decyzyjne zostają po stronie banku a zatem nie ma ryzyka niedopuszczalnego outsourcingu.

C. Czy obowiązek sporządzenia graficznej prezentacji umowy dotyczy tylko umów o charakterze krytycznym/istotnym, czy też dotyczy wszystkich umów outsourcingowych?

Stanowisko UKNF w pkt 11 rozdziału dotyczącego Umowy o współpracy i współpracy z dostawcami nie odnosi się w sposób szczególny do umów o charakterze krytycznym/istotnym.

Z tego względu, należy uznać, iż obowiązek sporządzenia graficznych prezentacji poszczególnych procesów powinien dotyczyć każdej umowy outsourcingowej.