Wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu (zwane dalej „Wytycznymi”) zastąpią wkrótce wytyczne Komitetu Europejskich Urzędów Nadzoru Bankowego (CEBS) z 2006 r. dotyczące outsourcingu oraz Zalecenia EBA dotyczące zlecania zadań dostawcom usług w chmurze z 2018 r. Wytyczne EBA kierowane są do właściwych organów, a także – do instytucji kredytowych, instytucji płatniczych oraz instytucji pieniądza elektronicznego (zwanych dalej „instytucjami”).

Wejście w życie i przepisy przejściowe

Pierwotnie – Wytyczne EBA miały mieć zastosowanie od dnia 30 września 2019 r. do wszystkich umów outsourcingu zawartych, odnowionych lub zmienionych po tej dacie . Zgodnie jednak ze stanowiskiem KNF z dnia 16 września 2019 r. – oczekiwaniem organu nadzoru jest, aby banki dostosowały się do Wytycznych w terminie do 30 czerwca 2020 r. Termin ten został określony z uwzględnieniem konieczności dostosowania się banków do licznych wymogów zawartych w Wytycznych.

Definicja outsourcingu

Zgodnie z definicją zawartą w Wytycznych – outsourcing oznacza umowę w dowolnej formie zawartą między instytucją a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez samą instytucję.

W związku z powyższym, instytucje zobowiązane są ustalić, czy umowa zawarta z osobą trzecią wchodzi w zakres definicji outsourcingu. W ramach tej oceny należy w szczególności rozważyć czy zlecana funkcja (lub jej część) jest przez dostawcę wykonywana regularnie czy na bieżąco. – Stanisław Stefaniak, Associate, Deloitte Legal.

Wytyczne wskazują, jakich sytuacji instytucje nie powinny traktować jako outsourcingu; dotyczy to w szczególności:

funkcji, której wykonanie przez dostawcę usług jest wymagane na mocy prawa, nabycia usług, które w innym przypadku nie zostałyby wykonane przez instytucję (np. porada architekta, udzielenie opinii prawnej i reprezentacja przed sądem i organami administracyjnymi, usługi medyczne, serwisowanie samochodów służbowych, catering, usługi biurowe, usługi turystyczne, usługi pocztowe, usługi związane z obsługą recepcji, sekretariatu lub centrali), towarów (np. plastikowych kart, czytników kart, towarów biurowych, komputerów osobistych, mebli) lub mediów (np. energii elektrycznej, gazu, wody, linii telefonicznej).

Funkcje krytyczne lub istotne

Wytyczne EBA przewidują szczegółowe wymagania przewidziane dla outsourcingu funkcji krytycznych lub istotnych. Instytucje uznają funkcję za krytyczną lub istotną m.in.:

  • w sytuacji gdy przedmiotem outsourcingu ma być działalność bankowa lub usługi płatnicze w zakresie wymagającym udzielenia zezwolenia przez właściwy organ;
  • w sytuacji gdy zleca się zadania operacyjne funkcji kontroli wewnętrznej na zasadzie outsourcingu;
  • o ile błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny ciągłości wypełniania warunków zezwolenia, wynikom finansowym instytucji lub bezpieczeństwu i ciągłość świadczenia usług bankowych lub płatniczych przez instytucję.

Zasada proporcjonalności

Instytucje stosując Wytyczne EBA lub właściwe organy sprawując nadzór nad ich stosowaniem – uwzględniają zasadę proporcjonalności. Wymaga ona, aby zasady zarządzania, w tym te dotyczące outsourcingu, były spójne z indywidualnym profilem ryzyka, charakterem i modelem biznesowym instytucji oraz skalą i złożonością jej działalności, tak aby skutecznie osiągnąć cele wymogów regulacyjnych. – Agata Jankowska-Galińska, Radca prawny, Senior Managing Associate Deloitte Legal.