Dostawcy usług technicznych na regulowanym, czyli jak wygląda perspektywa prawno-regulacyjna outsourcera w świecie usług płatniczych. Cz. 1. Ważne informacje ogólne  

Często wydaje się, że przepisy i regulacje stosowane przez podmioty nadzorowane (dostawców usług płatniczych, firmy inwestycyjne czy banki) „dotykają” tylko ich adresatów. W praktyce jednak również dostawcy usług technicznych (Technical Service Providers – TSP) mogą być pośrednio lub bezpośrednio zobowiązani do ich przestrzegania. Dzieje się tak w przypadku świadczenia określonych usług na rzecz podmiotów nadzorowanych w ramach outsourcingu, szczególnie gdy mamy na myśli tzw. funkcje krytyczne/istotne, czyli te bez których dana usługa bankowa czy płatnicza nie zadziała. Dlatego tak istotne jest poznanie nie tylko potrzeb biznesowych partnera, ale również otoczenia regulacyjnego, w którym ten partner działa. W dzisiejszym artykule przyjrzę się trochę perspektywie TSP w kontekście usług płatniczych. Dla ułatwienia przyjmijmy, że mowa będzie o TSP, który świadczy usługę na rzecz Krajowej Instytucji Płatniczej, która działa w charakterze Third Party Providera (TPP).

Punktem wyjścia niech będzie art. 6 pkt 10 ustawy o usługach płatniczych (uUP). Jest to przepis, który wyłącza stosowanie przepisów ustawy względem TSP, którzy wspierają usługi płatnicze. Takie wyłączenie jest jednak zastrzeżone dla sytuacji, w których TSP nie wchodzi w posiadanie środków pieniężnych. Przepisy wymienia przykładowe usługi techniczne do których można zaliczyć m.in. usługi przetwarzania i przechowywania danych, uwierzytelnienia danych czy też dostarczanie rozwiązań IT. Jest jeszcze zastrzeżenie, że do usług pomocniczych nie zalicza się usługi inicjowania płatności oraz usługi dostępu do informacji o rachunku (tutaj mam pewien problem ze zrozumieniem tego zastrzeżenia).

Tajemnica zawodowa

To trudny i dość wrażliwy temat. Definicji tajemnicy zawodowej nie mamy, ale art. 11 ust. 3 uUP wskazuje „co ona zawiera”. I tak mogą to być:

  1. Informacje dotyczące użytkownika lub posiadacza pieniądza elektronicznego (w szczególności dane szczególnie chronione, o których mowa w art. 2 pkt 26c, czyli te które mogą być wykorzystane do dokonywania oszustw);
  2. Inne informacje związane z transakcjami płatniczymi czy
  3. Zawieranymi z użytkownikiem umowami.

Dodatkowym „warunkiem” jest uznanie, że nieuprawnione ujawnienie takiej informacji mogłoby narazić na szkodę prawnie chroniony interes użytkownika lub posiadacza pieniądza elektronicznego (o ile tej osoby dana informacja dotyczy).

Od razu warto nadmienić, że art. 153 uUP przewiduje „solidną” sankcję za ujawnienie tajemnicy (grzywna do 500 tys. zł lub nawet 1mln zł jeżeli mamy cel w postaci osiągnięcia korzyści majątkowej lub pozbawienie wolności do lat 3 – a nawet łącznie obie kary).

Dlaczego o tym piszę?

Dlatego, że TSP również są obowiązane do zachowania tajemnicy zawodowej. Obowiązek taki nakłada art. 11 ust. 1 pkt 3) uUP i trwa on również po rozwiązaniu umowy. Należy przy tym przypomnieć, że dla dostawców z państw trzecich należy przeprowadzić stosowny equivalence assessment, który wykaże czy dana jurysdykcja zapewnia ochronę danych wrażliwych w sposób zbliżony do standardów unijnych.

Przetwarzanie danych

Załóżmy, że TSP przetwarza dane osobowe (wrażliwe). Sam dostawca usług płatniczych może, poza zgodą użytkownika, na podstawie art. 10 uUP (dla AML jest dodatkowo art. 10a) przetwarzać dane osobowe w zakresie niezbędnym do zapobiegania oszustwom (np. na potrzeby monitoringu transakcji, o którym mowa w art. 2 lub art. 18 Rozporządzenia 2018/389) – więcej na ten temat w tym artykule.

TSP w przypadku świadczenia usług technicznych na rzecz dostawcy może zasadniczo występować w dwóch rolach (wszystko zależy od konstrukcji umowy outsourcingowej):

  1. Administratora danych osobowych (jeżeli dochodzi do ujawnienia lub udostępnienia danych w inny sposób) – tutaj z dostawcą będzie występował jako współadministrator co wiąże się z dodatkowymi obowiązkami (art. 26 Rozporządzenia 2016/679) lub
  2. Podmiotu przetwarzającego (w imieniu dostawcy) – tutaj również sporo wymagań po stronie outsourcera (art. 28 Rozporządzenia 2016/679).

Jest to jednak temat wykraczający poza ramy tego artykułu. Zajmę się nim przy innej okazji. Zwrócić należy jednak uwagę, że sytuacja, w której dostawca techniczny będzie świadczył usługę w ramach skorzystania przez dostawcę usług płatniczych z art. 10 będzie najbardziej skomplikowaną i obwarowaną zastrzeżeniami prawnymi sytuacją.

Inne wymagania

W jednym z ostatnich artykułów pisałem na temat tzw. due diligence, czyli wieloaspektowej oceny outsourcera poprzedzającej podpisanie umowy. Jest to o tyle istotne, że negatywna ocena może skutkować o odrzuceniu oferty TSP.

Wytyczne EBA w sprawie outsourcingu, które mają zastosowanie zarówno do dostawców usług płatniczych, jak i banków, określają jakie elementy podlegać powinny takiej analizie. Są to:

  1. Reputacja biznesowa;
  2. Odpowiednie i wystarczające „umiejętności”;
  3. Kompetencje i zdolność do wykonania powierzonej funkcji;
  4. Zasoby, w tym ludzkie, IT oraz finansowe;
  5. Struktura organizacyjna (w szczególności czy zapewnione są zasady odpowiedzialności i eskalacji) a także
  6. Posiadanie stosownych zezwoleń lub rejestracji (jeżeli jest to wymagane).

To jednak nie wszystko. Podmiot „zlecający” powinien poddać TSP ocenie pod kątem jego modelu biznesowego, sytuacji finansowej a także struktury właścicielskiej (w szczególności czy zapewnia ona jej stabilne działanie a nawet możliwość udzielenia odpowiedniego wsparcia w przypadku wystąpienia trudności). Badaniu podlegać powinna również dotychczasowa współpraca (i to czy określone KPI lub inne wskaźniki były zapewnienia zgodnie z umową).

Bardzo ważne będzie również wykazanie przez podmiot, że posiada on należyte rozwiązania (techniczne i organizacyjne) w zakresie ochrony danych stanowiących tajemnicę zawodową, co obejmuje m.in. wykazanie, że TSP posiada stosowne polityki i procedury bezpieczeństwa (np. zgodne z rekomendacjami grupy ds. PolishAPI przy ZBP – pisałem na ten temat więcej tutaj).

Prawa człowieka i etyka?

Może wydawać się to niezwykłe, ale również i w tym aspekcie są pewne oczekiwania względem TSP. O ile nie ma wątpliwości, że najwyższe standardy będą stosowane przez podmioty zlokalizowane w Unii Europejskiej, to już takiej pewności nie ma w odniesieniu do państw trzecich. Z tego względu podmiot zlecający powinien zapewnić, że zarówno wykonawcy, jak i podwykonawcy stosują się międzynarodowych standardów Praw Człowieka, ochrony środowiska czy godziwych warunków pracy (w tym nie wykorzystują dzieci do pracy).

Poza tym, taki dostawca powinien stosować się do uznanych dobrych praktyk w obszarze, w którym świadczy daną usługę, ale także podobnych standardów mających zastosowanie do samego podmiotu zlecającego.

Czy to wszystko?

Nie do końca. W umowach outsourcingowych (o modelowej umowie pisałem tutaj) można zastrzec, że TSP powinien stosować się do określonych fragmentów aktów prawnych czy regulacji, w tym wytycznych i opinii organów nadzoru, a nawet polityk i procedur stosowanych wewnętrznie przez dostawcę. Wszystko zależy od woli współpracy pomiędzy stronami. Warto przy tym podkreślić, że w ramach umów outsourcingowych na funkcje krytyczne podmiot zlecający będzie miał prawo audytować wykonywanie poszczególnych obowiązków, a organ nadzoru wizytować „on-site”.

Co w następnym artykule?

Przejdziemy przez proces outsourcingu w uUP w kontekście usług krytycznych.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *