Jak skonstruować dobrą umowę outsourcingową na funkcje krytyczne? Cz. 1. Treść umowy

Nie da się. Zacząłem trochę żartem, trochę serio, ale jest to zadanie wymagające (w aspekcie prawnym, jak i negocjacyjno-operacyjnym) szczególnie w świetle wytycznych EBA w sprawie outsourcingu oraz komunikatu KNF w sprawie wykorzystania chmury obliczeniowej (który miejmy nadzieję niedługo zostanie zaktualizowany). Jest to wynik nie tylko samych regulacji, ale pewnej (pozornej) nierównowagi stron, która pojawia się w związku z zamiarem zawarcia umowy outsourcingowej obejmującej funkcje krytyczne lub istotne. Jest to wyrazem dbałości o status i bezpieczeństwo dostawcy usług płatniczych (w tym banku) oraz jego klientów, realizowane poprzez zapewnienie ciągłości i jakości świadczonych usług. Z tego względu prawidłowe zaprojektowanie umowy będzie warunkiem koniecznym do powierzenia funkcji mających z punktu widzenia podmiotu krytyczne znaczenie.

Kwestię outsourcingu dla instytucji finansowych (ograniczę się tutaj do usług stricte bankowych oraz płatniczych) regulują przede wszystkim art. 6a-6e Prawa bankowego oraz art. 86-88 ustawy o usługach płatniczych. Istotna jest również rekomendacja D KNF, która jest już jednak nieco „wiekowa” i niekoniecznie dostosowana do nowych wyzwań technologicznych. Nie należy również zapominać o innych dokumentach, które mają znaczenie, tj. wytyczne EBA w sprawie ryzyk operacyjnych i bezpieczeństwa oraz wytyczne EBA w sprawie zarządzania wewnętrznego. Bardzo istotne jest również spełnienie warunków Rozporządzenia 2016/679 (RODO) oraz Rozporządzenia 2018/1807 (w sprawie danych nieosobowych). Dla pewnych kategorii podmiotów znaczenie będzie miała również ustawa o cyberbezpieczeństwie (operatorzy usług kluczowych) i projektowane rozporządzenie w sprawie wymagań organizacyjnych.

Czym są funkcje krytyczne/istotne?

Zasadniczo można wskazać na trzy kategorie funkcji, które kwalifikują się pod pojęcie krytycznych lub istotnych. W pierwszej kolejności mogą to być więc funkcje, których nieprawidłowe wykonanie lub brak wykonania może w sposób znaczący wpłynąć:

  1. na spełnienie warunków zezwolenia na prowadzenie działalności lub wypełnienie wymogów regulacyjnych;
  2. sytuację finansową podmiotu;
  3. wykonanie usług płatniczych lub bankowych.

Po drugie, są to funkcje związane z wykonywaniem zadań operacyjnych funkcji kontroli wewnętrznej, a więc te dotyczące zarządzania ryzykiem, compliance czy audytu (w przypadku banku nie można outsource’ować audytu wewnętrznego). I wreszcie – takie funkcje, których powierzenie wymagałoby od wykonawcy uzyskania stosownego zezwolenia lub rejestracji.

To oczywiście w pewnym uproszczeniu. Podmiot zamierzający powierzyć wykonywanie takich funkcji samodzielnie musi dokonać ich oceny istotności/krytyczności. Konsekwencją nieprawidłowej oceny będzie prawdopodobnie wydanie przez KNF decyzji odnośnie konieczności zmiany lub nawet rozwiązania umowy (vide art. 87 ust. 2 ustawy o usługach płatniczych lub art. 6c ust. 5 Prawa bankowego). Przyjęcie, że dana funkcja lub funkcje należą do tej kategorii wywołuje również ten skutek, że zakres samej umowy będzie szerszy, a ponadto pojawiają się określone obowiązki informacyjne względem KNF. Dla samego wykonawcy również przewidziano pewne dodatkowe obowiązki.

Samo prawo bankowe nie wprowadza pojęcia „istotnych” lub „krytycznych” funkcji operacyjnych (choć takie definicje znajdują się w innych aktach, w tym dotyczących przymusowej restrukturyzacji). Bazując jednak na wytycznych EBA uznać należy, że kwalifikacja czynności w oparciu o przepisy Prawa bankowego powinna odbywać się również z uwzględnieniem wskazówek EBA.

Co w ogóle powinno znaleźć się w takiej umowie?

Poza oczywistymi elementami jak np. dane identyfikacyjne oraz adresowe, umowa powinna zawierać takie elementy jak:

  1. szczegółowy opis funkcji, które będą podlegały outsourcingowi (w tym miejscu warto wyodrębnić te funkcje, które mają charakter istotny i nieistotny, co ułatwi również identyfikację w rejestrze umów outsourcingowych); w przypadku bardziej rozbudowanych funkcji operacyjnych konieczne będzie załączenie do umowy specyfikacji technicznej (w szczególności IT oraz bezpieczeństwa);
  2. określenie praw i obowiązków (oraz zawarcie stosownych oświadczeń) stron umowy, w tym:
    1. określenie praw do przeprowadzania „audytu” dokumentacji, procesów i procedur wykonawcy, a także inspekcji on-site, wykonywanej przez zlecającego a także
    2. zobowiązania się wykonawcy do poddania „nadzorowi” organu nadzoru właściwego dla zlecającego;
    3. zobowiązania się do ustanowienia zabezpieczenia w postaci ubezpieczenia lub uzyskania gwarancji bankowej/ubezpieczeniowej na wypadek „nieprzewidziany” zdarzeń;
    4. zobowiązania finansowe – w tym określenie kto ponosi poszczególne koszty lub jakie są zasady zwrotu uzasadnionych kosztów związanych z wykonaniem umowy;
  3. dopuszczalność dalszego podwykonawstwa – i jeżeli jest on dopuszczalny to w jakim zakresie, a nawet jakie wymagania powinny spełniać podmioty, którym powierza się podwykonawstwo oraz to czy wymaga to uzgodnień ze zlecającym;
  4. określenie zasad raportowania z wykonania określonych elementów umowy, np. w oparciu o Key Performance Indicators (KPI), np. na zasadzie dziennej oraz raporty okresowe;
  5. określenie zasad odpowiedzialności, przy czym nie można wyłączyć zasad odpowiedzialności za szkody wyrządzone klientom zlecającego względem zlecającego oraz analogicznej odpowiedzialności podmiotu względem jego klientów – takie postanowienia byłyby nieważne;
  6. wskazanie zasad rozwiązania umowy, w tym (najczęściej w załącznikach) określenie zasad realizacji Exit Plan, czyli planu wyjścia, w związku z rezygnacją z usług. W przypadku możliwości wypowiedzenia umowy przez wykonawcę istotne jest wprowadzenie stosownych ograniczeń czasowych (np. długi okres wypowiedzenia), które zapewnią ciągłość funkcji oraz dadzą zlecającemu czas na znalezienie kolejnego wykonawcy (posiadanie tzw. back-up plan jest z resztą elementem dobrego due diligence wykonawcy);
  7. w przypadku przechowywania danych wrażliwych, np. stanowiących tajemnicę bankową/zawodową bardzo istotnym elementem jest określenie miejsca przechowywania tych danych, co ma znaczenie z punktu widzenia określenia prawa właściwego dla przetwarzania i ochrony tych danych – informacje te muszą umożliwiać jednoznaczną identyfikację lokalizacji;
  8. określenie zasad zapewnienia ciągłości działania (np. w ramach Business Continuity Plan), w tym jakie środki awaryjne będą miały zastosowanie oraz w jaki sposób wykonawca zapewnia odpowiedni „serwis” (np. uwzględnienie „normalnych” godzin funkcjonowania zlecającego), a także wyznaczenie osób odpowiedzialnych i zasad eskalacji;
  9. określenie zasad przekazywania danych osobowych i nieosobowych w przypadku, gdy sytuacja prawna wykonawcy ulega zmianie na skutek np. upadłości czy restrukturyzacji i wyraźne określenie, że zlecający pozostaje jedynym „właścicielem” tych danych;
  10. wprowadzenie odpowiednich klauzul, np. bail-in;
  11. określenie prawa właściwego (najlepiej siedziby zlecającego).

Nie jest to oczywiście lista wyczerpująca, gdyż umowie mogą towarzyszyć również inne zapisy, które zapewniają większe bezpieczeństwo po jednej i drugiej stronie umowy. Warto przykładowo zobowiązać wykonawcę do stosowania się do określonych przepisów i regulacji, a nawet polityk i procedur obowiązujących u zlecającego. W przypadku umów outsourcingowych zawieranych w ramach grupy kapitałowej znajdą się również postanowienia charakterystyczne dla takiej sytuacji. Do rozważenia pozostaje również wyraźne – choć jest to oczywiste na bazie odpowiednich przepisów) – zobowiązanie się wykonawcy do nieprzekazywania informacji stanowiących tajemnicę bankową/zawodową podmiotom trzecim, a także odpowiednie postanowienia dotyczące zachowania poufności (tzw. NDA). Można również wprowadzić, choć jest to raczej rzadkość, postanowienia o zakazie konkurencji (chyba, że chcemy skorzystać z usługi na wyłączność. Ciekawym rozwiązaniem byłoby również określenie zidentyfikowanych ryzyk operacyjnych i sposób ich ewentualnej mitygacji.

W kolejnej części przybliżę kwestie poprzedzające samo podpisanie umowy, w tym due diligence potencjalnego wykonawcy oraz ocenę ryzyka.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *