Liberalizacja zasad outsourcingu bankowego to krok w dobrym kierunku - pisze dr Damian Karwala, counsel w kancelarii CMS.

Część przepisów ustawy z dnia 16 sierpnia 2023 r. o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku weszła w życie 29 września. Ustawa ta nowelizuje liczne przepisy regulujące działalność sektora finansowego, w tym przepisy prawa bankowego. Szczególnie istotne – zarówno dla samych banków, jak i dla współpracujących z nimi dostawców – są te zmiany, które dotyczą outsourcingu bankowego.

To te sytuacje, gdy bank zleca innemu przedsiębiorcy (outsourcerowi) wykonywanie niektórych czynności związanych z jego działalnością, np. świadczenie usług IT. Wprowadzone zmiany dotyczą szczególnie ważnych i dotychczas mocno problematycznych kwestii, w tym zasad ponoszenia przez outsourcerów odpowiedzialności oraz możliwości tworzenia łańcuchów outsourcingowych. Zmiany te idą w oczekiwanym kierunku, łagodząc dotychczasowe ograniczenia. Można zatem oczekiwać, że digitalizacja sektora bankowego będzie postępować przy jednoczesnym zapewnieniu odpowiedniego poziomu bezpieczeństwa.

Zgodnie z dotychczasową regulacją nie było dopuszczalne umowne wyłączenie ani nawet ograniczenie odpowiedzialności outsourcera wobec banku za szkody wyrządzone klientom banku wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej. Rozwiązanie to było prawdziwym ewenementem w skali europejskiej, jeśli nie światowej. Powszechną praktyką jest bowiem kontraktowe ograniczanie odpowiedzialności odszkodowawczej. Kwestią otwartą pozostaje ewentualny limit odpowiedzialności, to jednak zależy w praktyce m.in. od siły negocjacyjnej kontrahentów. Tymczasem poprzednia wersja przepisu nie dopuszczała wprowadzania w umowie jakichkolwiek ograniczeń w tym zakresie. W skrajnych przypadkach osłabiało to zainteresowanie krajowym rynkiem ze strony międzynarodowych dostawców technologicznych, którzy uznawali nielimitowaną odpowiedzialność za zbyt duże ryzyko.

Zmiana przepisu – wydawać by się mogło, że kosmetyczna (usunięto jedynie dwa słowa: „ani ograniczyć”) – dla praktyki może mieć duże znaczenie. Dopuszczalne jest już ograniczenie odpowiedzialności outsourcera wobec banku – na zasadach określonych kontraktowo przez strony.

Zmiana ta nie odbyła się jednak bezkosztowo. Zgodnie z nowym rozwiązaniem bank ma obowiązek wprowadzić „adekwatne i skuteczne rozwiązania zabezpieczające pokrycie ewentualnych kosztów związanych z wypłatą odszkodowania z tytułu roszczeń klientów”. Może to zapewnić, np. wprowadzając do umowy outsourcingowej postanowienia przewidujące pełną odpowiedzialność dostawcy (pod warunkiem że druga strona się na to zgodzi) lub w inny sposób, w tym korzystając ze stosownego ubezpieczenia lub gwarancji bankowej.

Dla praktyki istotne znaczenie ma również zmiana dotycząca długości łańcucha outsourcingowego. Zgodnie z dotychczasowym stanem prawnym, intepretowanym przez KNF w sposób restrykcyjny, było dopuszczalne powierzenie dostawcy przez bank określonych usług i dalsze powierzenie przez tego dostawcę usług kolejnemu dostawcy. Regulator nie dopuszczał do dalszego podzlecania usług, co w obecnych realiach technologicznych oraz biznesowych jest dość powszechne. Swą interpretację potwierdził w pochodzącym z 2020 r. tzw. komunikacie chmurowym. Sam prawodawca zauważył zresztą, zmieniając przepisy, że „negatywne skutki obecnie obowiązującego zakazu dalszego powierzenia czynności w ramach podoutsourcingu widoczne są zwłaszcza w obszarze działalności fintechowej i wiążą się ze znacznym ograniczeniem możliwości (…) wykorzystywania najnowszych rozwiązań technologicznych”.

Po zmianach ustawa – Prawo bankowe dopuszcza dalsze powierzanie „wykonywania czynności” kolejnemu podmiotowi (dalszemu outsourcerowi) oraz kolejnym „ogniwom” w łańcuchu outsourcingu. Dostosowuje to polskie prawo bankowe do wytycznych Europejskiego Nadzoru Bankowego, a przede wszystkim uelastycznia ramy prawne.

Każdy przypadek powierzenia wykonania usługi kolejnym podmiotom wymaga uzyskania pisemnej zgody banku – szczegółowej, odnoszącej się do konkretnego poddostawcy – lub ogólnej. W tym ostatnim przypadku outsourcer ma obowiązek poinformować bank o „zamierzonych zmianach dotyczących dodania lub zastąpienia innych [poddostawców], dając tym samym bankowi możliwość wyrażenia sprzeciwu wobec takich zmian”.

Zniesiono ponadto wymóg pozyskania od KNF zezwolenia na tzw. outsourcing zagraniczny, czyli powierzenie przez bank usług przedsiębiorcy spoza UE oraz dopuszczenie ich wykonywania poza UE. W miejsce zezwolenia nowe przepisy wprowadzają obowiązek zawiadomienia KNF o zamiarze zawarcia umowy outsourcingowej. KNF może zgłosić sprzeciw wobec zawarcia takiej umowy, np. w sytuacji, gdy prawo obowiązujące w państwie trzecim uniemożliwia wykonywanie efektywnego nadzoru.

Nowa regulacja wysoko zawiesza poprzeczkę w zakresie wymogów formalnych, jakie powinien spełnić bank. Lista dokumentów i informacji, jakich KNF może oczekiwać, obejmuje m.in.:

  • dokumenty dotyczące działalności gospodarczej outsourcera, np. jego roczne sprawozdanie finansowe;
  • informacje z rejestru karnego dotyczące osób fizycznych, które pełnią funkcje członków organu zarządzającego lub nadzorującego outsourcera;
  • oświadczenie outsourcera, że nie toczą się przeciwko niemu postępowania, które mogą mieć negatywny wpływ na jego sytuację finansową;
  • oświadczenia zarządu banku, że prawo obowiązujące w państwie, w którym powierzone czynności mają być wykonywane, nie uniemożliwia KNF wykonywania efektywnego nadzoru.

Można oczekiwać, że wprowadzone zmiany pozwolą na realizację zamiarów wyrażonych w uzasadnieniu proponowanej nowelizacji – stworzenia warunków dla bardziej efektywnego i elastycznego outsourcingu bankowego. W tej beczce miodu jest jednak również łyżka dziegciu. Zmiany dotyczące outsourcingu nie objęły bowiem innych niż ustawa – Prawo bankowe oraz ustawa o obrocie instrumentami finansowymi regulacji dotyczących sektora finansowego. W wielu przepisach nadal funkcjonują więc ograniczenia. Wciąż brakuje szerszego spojrzenia na problematykę outsourcingu w sektorze finansowym i ujednolicenie związanych z tym zasad w aktach prawnych regulujących poszczególne subsektory. Nie można tym samym wykluczyć dalszych prac nad liberalizacją przepisów. Ostatnie zmiany pokazały właściwy kierunek. ©℗