piątek, Październik 18

Mam wątpliwości. Wytyczne EBA czy przepisy krajowe – co stosujemy i kiedy? Stanowisko UKNF w sprawie outsourcingu i konsekwencje dla sektora bankowego

Google+ Pinterest LinkedIn Tumblr +

Stanowisko Urzędu Komisji Nadzoru Finansowego (KNF) w sprawie Wytycznych EBA dotyczących outsourcingu nie wydaje się być dużym zaskoczeniem. Od jakiegoś czasu wiadomo, że Urząd pracuje nad modelem referencyjnym dla chmury obliczeniowej w sektorze finansowym, co może wymagać wydania bardziej precyzyjnych i specyficznych wymogów dla sektora bankowego. Nie jest również niczym nieoczekiwanym odroczenie terminu stosowania Wytycznych EBA do 30 czerwca 2020 r. (zważywszy na brak stanowiska w sprawie ich „przyjęcia” do stosowania przez KNF – wchodzą one w życie 30 września br.). Samo stanowisko nie odnosi się do wszystkich zagadnień uwzględnionych w dokumencie Europejskiego Urzędu Nadzoru Bankowego (zachęcam do przeczytania więcej na ten temat w moim komentarzu na lex.pl – Nowe zasady outsourcingu dla instytucji finansowych w świetle wytycznych EBA. Nowe technologie a podejście regulatorów), a jedynie tych, które według regulatora wymagają wyjaśnienia (ja sam również mam wątpliwości). Przejdźmy więc przez dokument i jego najważniejsze elementy.

A zaczniemy od definicji outsourcingu. Jest to o tyle ciekawe, że w stanowisku rozróżniono dwa pojęcia:

  1. Powierzenia wykonywania czynności w rozumieniu art. 6a Prawa bankowego oraz
  2. Outsourcing zdefiniowany w Wytycznych EBA.

Zdaniem UKNF outsourcing bankowy jest częścią szerszej kategorii outsourcingu EBA i takie też podejście jest stosowane w całym stanowisku. Ma to rzeczywiście znaczenie, ponieważ dokument unijnego nadzorcy wskazuje na kilka kategorii outsourcingu (a także zakres podmiotowy) i przyjęcie odmiennego podejścia mogłoby skutkować licznymi nieporozumieniami.

Jak stosować wytyczne?

Paradoksalnie nie jest to takie oczywiste. Zdaniem UKNF oznacza to wdrażanie takich rozwiązań, które są co najmniej tak rygorystyczne jak te w Wytycznych EBA. Wspomniany przykład wydawania kart płatniczych jest tutaj bardzo na miejscu. Jeżeli bowiem pojawiłyby się bardziej rygorystyczne przepisy, rekomendacje czy stanowiska interpretacyjne, to co będzie miało pierwszeństwo? W stanowisku wyraźnie wskazano, że – co do zasady – stosujemy Wytyczne EBA, ale jeżeli mamy bardziej rygorystyczne krajowe rozwiązania, to stosujemy właśnie te rozwiązania. Mniej rygorystyczne krajowe podejście – wytyczne EBA. Ocena jest oczywiście zawsze subiektywna, a więc zawsze pozostaje niepewność.

Zastanawiam się na jednym. Co w sytuacji, w której np. chcielibyśmy outsource’ować wykonywanie silnego uwierzytelnienia klienta (co wyraźnie dopuszcza EBA)? Czy w takiej sytuacji stosujemy reżim Prawa bankowego, tj. art. 6a pkt 2 (i stosować te przepisy), czy też może traktować je jako element składowy jednej z usług płatniczych (i tutaj znowu pytanie – jakiej)? Choć na pierwszy rzut oka wydaje się, że nie rodzi to zbyt wielu trudności, to w praktyce powoduje, że musimy dokonać dość szczegółowej „subsumcji” i oceny, który reżim będzie odpowiedni do takiej sytuacji. Oczywiście zawsze możemy wybrać ten bardziej surowy, ale to też nie zawsze jest takie oczywiste. W innym przypadku możemy narazić się na działania nadzorcze.

A w okresie przejściowym?

Generalnie oczekiwanie jest takie, że banki jak najszybciej dostosują się do Wytycznych EBA, a sam dokument unijnego nadzorcy znajduje zastosowanie do umów outsourcingowych zawartych, odnowionych lub zmienionych po 30 września 2019 r. Rodziło to wątpliwości czy akceptowalnym rozwiązaniem będzie w takiej sytuacji aneksowanie umowy outsourcingowej przed 30 września 2019 r., co pozwoli na niestosowanie reżimu EBA. W stanowisku KNF wskazał jednak, że oczekuje Urząd oczekuje dostosowania umów nie później niż do 30 czerwca – czyli samo aneksowanie na czas nieokreślony nie jest rozwiązaniem. Dalej Urząd tłumaczy jak należy rozumieć „odnowienie” takiej umowy – jest to po prostu zawarcie aneksu zmieniającego okres jej trwania.

Rejestr umów

W tym kontekście pojawiło się istotne zagadnienie prawne. Wytyczne EBA nr 54 i 55 wskazują na zakres informacji, które powinny znaleźć się w specjalnym rejestrze umów outsourcingowych, do których prowadzenia zobowiązane są m.in. banki. Są to informacje bardzo szczegółowe (inne są np. w stosunku do umów o rozwiązania chmurowe, a inne dla outsourcingu funkcji krytycznych lub istotnych). Z kolei art. 6c ust. 3 Prawa bankowego zobowiązuje banki do prowadzenia ewidencji umów, które zawierają co najmniej: (i) dane identyfikacyjne; (ii) zakres powierzonych czynności i miejsce wykonywani oraz (iii) okres obowiązywania. Pojawiło się więc pytanie czy prowadzenie takiej ewidencji umów będzie wystarczające dla spełnienia wymogów regulacyjnych?

Odpowiedź KNF jest następująca. Ewidencja z art. 6c ust. 3 Prawa bankowego powinna być rozumiana jako rejestr z wytycznych EBA. KNF rekomenduje, aby w bankach był prowadzonych jeden rejestr, który będzie zawierał dane wynikające zarówno z Prawa bankowego, jak i wytycznych EBA. Istotne jest tutaj zastrzeżenie, że dokumentowanie na nowych zasada powinno nastąpić nie później niż do 31 grudnia 2021 r., ale każdorazowa zmiana powinna odbywać się już jednak w zgodzie z tymi zasadami.

Warto przy tym przypomnieć, że wymogi „rejestrowe” dla umów chmurowych nie znajdują tutaj zastosowania (mamy podejście krajowe). Wydaje mi się jednak nieco absurdalne, że na tym etapie dla umów chmurowych banki nie będą stosowały rekomendacji EBA nr 54(h), która wymaga podania w rejestrze modelu chmury (publiczna, hybrydowa, „community” czy prywatna), a także podania rodzaju przetwarzanych danych oraz lokalizacji tego przetwarzania i przechowywania. Jest to raczej standardowy zakres informacji. Niemniej jednak – patrząc przez pryzmat stanowiska – nie jest to wymagane. Chyba, że czytamy stanowisko, jako „wyłączające” stosowanie Wytycznych EBA w odniesieniu do chmury wyłącznie w pkt 37-43 (co wydaje się logiczne).

Jeszcze o proporcjonalności

Oczywiście stosujemy zasadę proporcjonalności, czyli zasady stosujemy w sposób adekwatny do profilu ryzyka, charakteru i modelu biznesowego oraz skali i złożoności działalności. Ostatecznie ma to pozwolić na osiągnięcie wymogów regulacyjnych. Niestety tutaj „wytyczne” się kończą – w odniesieniu do ogólnego rozumienia zasady proporcjonalności (stanowisko dalej traktuje o „poluzowanym” podejściu do banków spółdzielczych i IPS). A szkoda, bo temat wcale nie jest łatwy.

Jak bowiem należy stosować te wytyczne w kontekście zasady proporcjonalności i co ona oznacza dla banku? Czy oznacza to mniejsze wymagania stawiane podwykonawcom czy mniej restrykcyjne wymagania dokumentowe? Mam pewien problem ze zrozumieniem tej zasady poza sytuacjami określonymi w Wytycznych EBA (nota bene stanowisko KNF nie odnosi się do kwestii outsourcingu w ramach grupy kapitałowej – pytanie czy to przeoczenie?). Patrząc bowiem przez ww. cel spełnienia wymogów regulacyjnych i brak wyraźnych wytycznych – praktycznie zawsze należy w całości „podążać” za wymaganiami przepisów i wytycznych.

Co w następnej części?

Zajmę się już bardziej „konkretnymi” elementami stanowiska, w tym w szczególności konstruowaniem umowy (ostatnio pisałem tutaj o „dobrej” umowie outsourcingowej w świetle wytycznych EBA).

Udostępnij.

Zostaw komentarz