Wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu (zwane dalej „Wytycznymi”) zastąpią wkrótce wytyczne Komitetu Europejskich Urzędów Nadzoru Bankowego (CEBS) z 2006 r. dotyczące outsourcingu oraz Zalecenia EBA dotyczące zlecania zadań dostawcom usług w chmurze z 2018 r. Wytyczne EBA kierowane są do właściwych organów, a także – do instytucji kredytowych, instytucji płatniczych oraz instytucji pieniądza elektronicznego (zwanych dalej „instytucjami”).

Wejście w życie i przepisy przejściowe

Pierwotnie – Wytyczne EBA miały mieć zastosowanie od dnia 30 września 2019 r. do wszystkich umów outsourcingu zawartych, odnowionych lub zmienionych po tej dacie . Zgodnie jednak ze stanowiskiem KNF z dnia 16 września 2019 r. – oczekiwaniem organu nadzoru jest, aby banki dostosowały się do Wytycznych w terminie do 30 czerwca 2020 r. Termin ten został określony z uwzględnieniem konieczności dostosowania się banków do licznych wymogów zawartych w Wytycznych.

Definicja outsourcingu

Zgodnie z definicją zawartą w Wytycznych – outsourcing oznacza umowę w dowolnej formie zawartą między instytucją a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez samą instytucję.

W związku z powyższym, instytucje zobowiązane są ustalić, czy umowa zawarta z osobą trzecią wchodzi w zakres definicji outsourcingu. W ramach tej oceny należy w szczególności rozważyć czy zlecana funkcja (lub jej część) jest przez dostawcę wykonywana regularnie czy na bieżąco. – Stanisław Stefaniak, Associate, Deloitte Legal.

Wytyczne wskazują, jakich sytuacji instytucje nie powinny traktować jako outsourcingu; dotyczy to w szczególności:

funkcji, której wykonanie przez dostawcę usług jest wymagane na mocy prawa, nabycia usług, które w innym przypadku nie zostałyby wykonane przez instytucję (np. porada architekta, udzielenie opinii prawnej i reprezentacja przed sądem i organami administracyjnymi, usługi medyczne, serwisowanie samochodów służbowych, catering, usługi biurowe, usługi turystyczne, usługi pocztowe, usługi związane z obsługą recepcji, sekretariatu lub centrali), towarów (np. plastikowych kart, czytników kart, towarów biurowych, komputerów osobistych, mebli) lub mediów (np. energii elektrycznej, gazu, wody, linii telefonicznej).

Czytaj również:  IP Box: 5% zamiast 19% podatku od dochodów z praw własności intelektualnej. Jak to wykorzystać?

Funkcje krytyczne lub istotne

Wytyczne EBA przewidują szczegółowe wymagania przewidziane dla outsourcingu funkcji krytycznych lub istotnych. Instytucje uznają funkcję za krytyczną lub istotną m.in.:

  • w sytuacji gdy przedmiotem outsourcingu ma być działalność bankowa lub usługi płatnicze w zakresie wymagającym udzielenia zezwolenia przez właściwy organ;
  • w sytuacji gdy zleca się zadania operacyjne funkcji kontroli wewnętrznej na zasadzie outsourcingu;
  • o ile błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny ciągłości wypełniania warunków zezwolenia, wynikom finansowym instytucji lub bezpieczeństwu i ciągłość świadczenia usług bankowych lub płatniczych przez instytucję.

Zasada proporcjonalności

Instytucje stosując Wytyczne EBA lub właściwe organy sprawując nadzór nad ich stosowaniem – uwzględniają zasadę proporcjonalności. Wymaga ona, aby zasady zarządzania, w tym te dotyczące outsourcingu, były spójne z indywidualnym profilem ryzyka, charakterem i modelem biznesowym instytucji oraz skalą i złożonością jej działalności, tak aby skutecznie osiągnąć cele wymogów regulacyjnych. – Agata Jankowska-Galińska, Radca prawny, Senior Managing Associate Deloitte Legal.