Złożoność usług świadczonych bankom przez dostawców outsourcingowych[1] często wiąże się z potrzebą skorzystania przez dostawców ze wsparcia podwykonawców. W takim przypadku, wyzwaniem stojącym przed bankami jest zapewnienie zgodności planowanej usługi z wymaganiami Prawa bankowego w tym zakresie.
Definicja podwykonawcy
Zacznijmy od braku spójności w rozumieniu pojęcia podwykonawcy[2] w Prawie bankowym oraz Komunikacie Chmurowym UKNF[3]. Biorąc pod uwagę regulacje Prawa bankowego, jako „podwykonawcę” można zdefiniować jako podmiot, któremu dostawca powierza wykonywanie czynności służących realizacji świadczenia głównego, wynikającego z umowy outsourcingowej [4].
Z kolei Komunikat Chmurowy, który – jak zapewnia UKNF – nie zmienia praw i obowiązków wynikających z powszechnie obowiązujących przepisów prawa, na potrzeby identyfikowania podwykonawców dostawców usług chmurowych kieruje się kryterium, czy dany podmiot posiada albo może mieć identyfikowalny dostęp do informacji przetwarzanych przez bank[5]. Taka definicja znacznie ułatwia korzystanie przez banki z usług w chmurze obliczeniowej, do których stosuje się Komunikat Chmurowy.
Banki powinny jednak pamiętać, że na potrzeby badania relacji pomiędzy dostawcą usługi opartej o chmurę obliczeniową a jego podwykonawcą zapewnianiającym infrastrukturę chmurową, zastosowanie znajdzie jeszcze definicja z Prawa bankowego.
Łańcuch podwykonawców
Kolejnym ograniczeniem po stronie podwykonawców jest zakaz tzw. „łańcucha outsourcingowego”. Dotyczy ono możliwości korzystania przez dostawcę wyłącznie do podwykonawców I rzędu[6] i oznacza, że podwykonawcy I rzędu nie mogą korzystać z własnych podwykonawców (podwykonawców II rzędu).
Przykładem jest sytuacja, w której warstwa technologiczna usługi jest oparta o rozwiązanie informatyczne dostarczane przez podmiot trzeci (podwykonawca I rzędu), które z kolei jest posadowione na chmurze obliczeniowej dostarczanej przez np. spółkę z grupy Microsoft (podwykonawca II rzędu).
Pamiętajmy, że powyższe ograniczenie nie wyłącza tzw. „outsourcingu gwiaździstego”, w którym dostawca korzysta z kilku podwykonawców I rzędu.
Realizacja całości usługi przez podwykonawców
Zgodnie z Prawem bankowym, dostawca może powierzyć swoim podwykonawcom wyłącznie czynności służące realizacji świadczenia głównego, wynikającego z umowy outsourcingowej, a nie samo świadczenie główne[7].
W związku z tym, w każdym przypadku należy zwrócić szczególną uwagę na podział i zakres zadań realizowanych przez naszego dostawcę oraz przez jego podwykonawców. Może się bowiem okazać, że czynności powierzone podwykonawcy są świadczeniem głównym, co jest sprzeczne z Prawem bankowym. Przykładem jest sytuacja, w której dostawca jedynie fakturuje bank, a całość usługi jest faktycznie realizowana przez jego podwykonawców, np. spółki z grupy dostawcy.
Ograniczenia terytorialne
Pamiętajmy też o dokładnej weryfikacji, gdzie podwykonawcy mają swoją siedzibę lub będą realizowali powierzone im czynności. Jeśli odpowiedź na którekolwiek z tych pytań wskazuje na państwo spoza Unii Europejskiej lub nienależące do Europejskiego Obszaru Gospodarczego, Prawo bankowe wymaga uprzedniej zgody Komisji Nadzoru Finansowego na skorzystanie ze wsparcia takiego podwykonawcy. Procedura w tej sprawie oprócz wymogu przedstawienia przez bank szeregu dokumentów, według mojej wiedzy, może trwać ponad rok, oczywiście bez gwarancji uzyskania takiej zgody. W dynamicznie rosnącym znaczeniu technologii w działalności banku, rok opóźnienia może zdecydować o być albo nie być dla projektu.
Odpowiednie zmapowanie kwestii podwykonawców jest jedną z istotniejszych kwestii w ramach planowania usługi outsourcingowej. W zależności wyników tej analizy, projekt może zostać znacznie opóźniony, a nawet okazać się niemożliwy do realizacji w zakładanym kształcie. Dlatego istotne jest, aby uzyskać potrzebne informacje od potencjalnego dostawcy już na etapie planowania usługi, np. w odpowiedzi na RFP.
* Artykuł nie uwzględnia planowanej nowelizacji Prawa bankowego w zakresie m.in. outsourcingu[8], uwagi do której zostaną przedstawione przez Autora w jednym z kolejnych artykułów.
[1] Mowa o powierzeniu przez bank czynności faktycznych związanych z działalnością bankową w rozumieniu art. 6a ust. 1 pkt 2 Prawa bankowego.
[2] Stosowane są również pojęcia „poddostawcy” oraz „podoutsourcera”.
[3] Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, dostępny na stronie www UKNF (https://www.knf.gov.pl/dla_rynku/fin_tech/chmura_obliczeniowa).
[4] Art. 6a ust. 7 Prawa bankowego.
[5] Zgodnie z Komunikatem Chmurowym, poddostawca to podmiot, który świadczy usługi dla dostawcy usług chmury obliczeniowej, służące dostarczaniu usługi chmury obliczeniowej dla podmiotu nadzorowanego i posiada albo może posiadać identyfikowany dostęp do informacji przetwarzanych przez podmiot nadzorowany.
[6] Wynika to z art. 6a ust. 7 pkt 1 Prawa bankowego.
[7] Art. 6a ust. 7 pkt 1 Prawa bankowego.
[8] https://legislacja.rcl.gov.pl/projekt/12349203.
Autor: Maciej Tabor, ekspert z zakresu prawa nowych technologii w kancelarii Lawspective Litwiński Valirakis Radcowie Prawni Sp.k. Wspiera zamawiających oraz wykonawców w projektach informatycznych realizowanych w reżimie outsourcingu.
E-mail: maciej.tabor@lawspective.pl