We wrześniu 2023 roku weszła w życie polska ustawa zmieniająca ustawę Prawo bankowe oraz Regulamin outsourcingu bankowego. Zmiany te wprowadziła ustawa z dnia 16 sierpnia 2023 r. o zmianie niektórych ustaw w celu zapewnienia rozwoju rynku finansowego i ochrony inwestorów na tym rynku.
W nowelizacji podkreślono, że outsourcing bankowy, czyli sytuacje, w których bank zleca określone zadania związane z działalnością bankową (np. usługi IT, w tym przetwarzanie w chmurze) innej firmie (np. outsourcerowi), ma charakter międzynarodowy, staje się coraz bardziej popularny i podlega rygorystycznym ograniczeniom regulacyjnym w Polsce, co jest ważne nie tylko dla banków, ale także dla dostawców, zwłaszcza technologii z sektora IT i cloud Computing, z którymi współpracują.
Zmiany dotyczą zagadnień szczególnie istotnych w sektorze bankowym, takich jak zasady odpowiedzialności za szkody wyrządzone przez outsourcingowców czy dopuszczalność tworzenia „łańcuchów outsourcingu”. Co ważne, te oczekiwane przez rynek zmiany łagodzą dotychczasowe ograniczenia. W związku z tym oczekuje się, że cyfryzacja sektora bankowego w Polsce będzie kontynuowana zgodnie z kontrolami zapewniającymi odpowiedni poziom bezpieczeństwa klientom banków.
Postanowienia dotyczące odpowiedzialności usługodawcy
Zgodnie z dotychczasowymi przepisami Prawa bankowego nie było dopuszczalne umowne wyłączenie lub nawet ograniczenie odpowiedzialności outsourcera wobec banku za szkody poniesione przez klientów banku na skutek niewykonania lub nienależytego wykonania umowy outsourcingowej. Rozwiązanie to wzbudziło spore obawy, zwłaszcza że w branży IT powszechną praktyką jest umowne ograniczanie odpowiedzialności dostawców technologii za poniesione szkody. Mogło to doprowadzić do osłabienia zainteresowania operatorów międzynarodowych polskim rynkiem, dla których nieograniczona odpowiedzialność stanowiła zbyt duże ryzyko.
Po wprowadzeniu zmian dopuszczalne jest obecnie ograniczenie odpowiedzialności outsourcera wobec banku na zasadach uzgodnionych umownie przez strony. Zmiana ta nie przyszła jednak „za darmo”. Nowe rozwiązanie nakłada na bank obowiązek „podjęcia odpowiednich i skutecznych działań zapewniających pokrycie ewentualnych kosztów związanych z umorzeniem roszczeń klientów”. Bank może to zapewnić np. poprzez określenie w umowie outsourcingowej nieograniczonej odpowiedzialności dostawcy, pod warunkiem, że dostawca wyrazi na to zgodę. Bank może zapewnić to także w inny sposób, na przykład poprzez ubezpieczenie lub gwarancję bankową.
Nieograniczony łańcuch outsourcingu
Bardzo istotne są także zmiany w długości łańcucha outsourcingu. Zgodnie z dotychczasowymi ramami regulacyjnymi, które były restrykcyjnie interpretowane przez Komisję Nadzoru Finansowego (KNF) bank mógł zlecić określone czynności (usługi) jednemu dostawcy, a ten dostawca z kolei zlecić je innemu dostawcy. Polski regulator nie dopuścił jednak dalszego podoutsourcingu usług, co jest dość powszechne w obecnej rzeczywistości technologicznej i biznesowej.
Po zmianach Prawo bankowe dopuszcza dalszy outsourcing „świadczenia czynności” innej spółce (tj. innemu outsourcerowi) oraz innym firmom w łańcuchu outsourcingu. Zmiany dostosowują przepisy Prawa bankowego do wytycznych Europejskiego Urzędu Nadzoru Bankowego (EUNB), a przede wszystkim uelastycznić wcześniej sztywne ramy prawne. Po wprowadzeniu, na każdy podoutsourcing i dalszy podoutsourcing wymagana jest pisemna zgoda banku, która może mieć formę indywidualnej zgody dla wskazanego podoutsourcingu lub zgody ogólnej. W tym ostatnim przypadku outsourcer ma obowiązek poinformować bank o wszelkich zamierzonych zmianach związanych z dodaniem lub zastąpieniem innych podoutsourcingowców, a także dać bankowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Zawiadomienie polskiego organu zamiast zezwolenia
Ustawa z 16 sierpnia 2023 r. zniosła także wymóg uzyskania zezwolenia KNF na „outsourcing zagraniczny” (czyli outsourcing usług banku do spółki spoza UE lub do unijnego outsourcera świadczącego swoje usługi poza UE). . Zamiast zezwolenia nowe przepisy wprowadzają obowiązek powiadomienia KNF o zamiarze zawarcia umowy „outsourcingu zagranicznego”. Jednocześnie KNF może sprzeciwić się zawarciu takiej umowy np. w sytuacji, gdy prawo obowiązujące w państwie trzecim uniemożliwia temu organowi sprawowanie skutecznego nadzoru.
Nowe rozwiązania wiążą się jednak z daleko idącymi wymogami formalnymi dla banku. Lista dokumentów i informacji, jakich KNF może oczekiwać od banku (a tym samym od jego partnerów outsourcingowych) obejmuje:
- Dokumenty związane z działalnością gospodarczą outsourcera (np. jego roczne sprawozdanie finansowe);
- informacje z rejestru karnego dotyczące osób fizycznych pełniących funkcję członków organu zarządzającego lub nadzorczego outsourcera;
- oświadczenie outsourcera, że nie toczy się przeciwko niemu żadne postępowanie, które mogłoby mieć negatywny wpływ na jego sytuację finansową;
- oświadczenie zarządu banku, że przepisy obowiązujące w państwie, w którym mają być wykonywane zlecone czynności, nie uniemożliwiają KNF sprawowania skutecznego nadzoru.
Wytyczne KNF dotyczące chmury
Wprowadzane zmiany mają na celu osiągnięcie postawionych przez ustawodawcę celów: stworzenie warunków dla bardziej efektywnego i elastycznego outsourcingu bankowego w Polsce. Wiele będzie jednak zależeć od KNF, która będzie nadzorować wdrażanie nowych przepisów, a także będzie miała za zadanie aktualizację i aktualizację zasad miękkiego prawa (wytycznych) dotyczących korzystania z usług chmurowych przez banki (i inne podmioty sektora finansowego). oczyścić ). Ponieważ projekt zmian (lub uzasadnienie) nie odnosi się do wytycznych KNF, lecz do wytycznych EUNB, prawdopodobne jest, że nastąpią jeszcze bardziej daleko idące zmiany. Zmiany te nie wykluczają odejścia od lokalnych, polskich wytycznych i ogólnego „podejścia krajowego” i zastąpienia ich podejściem europejskim, uwzględniającym wytyczne EBA.