Projekt zmian w prawie bankowym 鈥 czy rozwi膮偶e praktyczne problemy dostawc贸w IT?

Projekt zmian w prawie bankowym, itweek.pl
Projekt zmian w prawie bankowym, itweek.pl
Reklama:

Rynek od dawna sygnalizuje, 偶e przepisy prawa bankowego nie s膮 dostosowane do dynamicznie rozwijaj膮cej si臋 bran偶y FinTech. Odpowiedzi膮 ma by膰 projekt ustawy z dnia 15 lipca 2021 r. o zmianie niekt贸rych ustaw w zwi膮zku z zapewnieniem rozwoju rynku finansowego oraz ochrony interes贸w inwestor贸w na tym rynku. Projekt ju偶 od d艂u偶szego czasu jest na etapie konsultacji i opiniowania.

Dlaczego zmiany w prawie bankowym s膮 konieczne?

Problem niedostosowania przepis贸w ustawy Prawo bankowe najlepiej wida膰 w obszarze rozwi膮za艅 chmurowych. W polskim sektorze bankowym niewiele jest wdro偶e艅 us艂ug w modelu SaaS. Przyczyna le偶y w anachronicznych przepisach prawa, kt贸re stawiaj膮 dostawcom blokuj膮ce wymogi. Us艂uga w modelu SaaS po dostosowaniu do tych wymog贸w cz臋sto staje si臋 nieop艂acalna b膮d藕 w og贸le niemo偶liwa w realizacji. Mowa w tym wypadku przede wszystkim o zakazie tzw. 鈥溑俛艅cuszka powierze艅鈥 i nieograniczonej odpowiedzialno艣ci za szkody wyrz膮dzone klientom banku. Czy projektowane zmiany przepis贸w odpowiedz膮 na oczekiwania bran偶y dotycz膮ce tych dw贸ch kluczowych obszar贸w?

Zakres projektowanych zmian

Zgodnie z tre艣ci膮 uzasadnienia, w obszarze dotycz膮cym outsourcingu bankowego projekt wprowadza regulacje, kt贸re maj膮 na celu uproszczenie procedury i dostosowanie do wymog贸w Wytycznych Europejskiego Urz臋du Nadzoru Bankowego w sprawie outsourcingu (sygn. EBA/GL/2019/02), w tym przewiduj膮:

  • umo偶liwienie powierzenia czynno艣ci po艣rednictwa w zakresie um贸w o instrumenty p艂atnicze, inne ni偶 karty p艂atnicze;
  • odej艣cie od wymogu zawierania umowy agencyjnej w stosunku do niekt贸rych czynno艣ci outsourcingowych;
  • rozszerzenie dopuszczalnego zakresu powierzanych czynno艣ci w ramach outsourcingu;
  • umo偶liwienie dalszego podzlecania czynno艣ci w ramach outsourcingu 鈥 odej艣cie od zakazu zwi膮zanego z tzw. 鈥炁俛艅cuszkiem powierze艅鈥;
  • liberalizacj臋 procedury powierzenia czynno艣ci przedsi臋biorcom zagranicznym.

Projekt zawiera ponadto szereg innych zmian dotycz膮cych rynku finansowego a nie zwi膮zanych bezpo艣rednio z outsourcingiem bankowym.

艁a艅cuszki powierze艅 鈥 d艂ugo wyczekiwana zmiana

Kluczow膮 zmian膮, na kt贸r膮 od lat oczekuje rynek FinTech jest odej艣cie od tzw. zakazu 鈥炁俛艅cuszka powierze艅鈥.

Zgodnie z art. 6a ust. 7 ustawy Prawo bankowe je偶eli umowa outsourcingowa to przewiduje, przedsi臋biorca lub przedsi臋biorca zagraniczny mo偶e powierzy膰 innemu przedsi臋biorcy lub przedsi臋biorcy zagranicznemu – w drodze odr臋bnej umowy – wykonywanie okre艣lonych w umowie zawartej z bankiem czynno艣ci, s艂u偶膮cych realizacji g艂贸wnego 艣wiadczenia wynikaj膮cego z tej umowy, po uzyskaniu pisemnej zgody banku.

Z tej og贸lnej regulacji Komisja Nadzoru Finansowego wywiod艂a zakaz podpowierzania us艂ug dalszym poddostawcom. Oznacza to, 偶e przy obecnym stanie prawnym w re偶imie outsourcingu bankowego podwykonawca dostawcy 艣wiadcz膮cego us艂ugi dla banku nie mo偶e mie膰 ju偶 dalszych podwykonawc贸w.

W przypadku us艂ug chmurowych jest to spory problem praktyczny, poniewa偶 immanentn膮 cech膮 艣wiadczenia us艂ug w modelu SaaS jest to, 偶e na finaln膮 us艂ug臋 sk艂ada si臋 zwykle wiele element贸w dostarczanych przez wielu r贸偶nych dostawc贸w. Standardowo np. podmiot dostarczaj膮cy chmur臋 nie dostarcza jednocze艣nie oprogramowania na tej chmurze posadowionego. Opr贸cz dostawcy oprogramowania i us艂ugi chmurowej do tej 鈥瀠k艂adanki鈥 dochodzi膰 mog膮 r贸wnie偶 dostawcy poszczeg贸lnych komponent贸w oprogramowania lub us艂ug towarzysz膮cych, podmioty odsprzedaj膮ce us艂ugi chmurowe czy zapewniaj膮ce odpowiedni膮 konfiguracj臋 i utrzymanie 艣rodowisk chmurowych. Dostawcy tych us艂ug cz膮stkowych maj膮 natomiast swoich podwykonawc贸w i dostawc贸w. Nie mo偶na pomin膮膰 tak偶e rozpowszechnionej praktyki wsp贸艂pracy z personelem w oparciu o umow臋 B2B, gdy偶 kontraktorzy tak偶e s膮 uwa偶ani za podwykonawc贸w. W praktyce cz臋sto wi臋c okazuje si臋, 偶e 艣wiadczenie dla banku okre艣lonej us艂ugi w modelu SaaS, w zgodzie z art. 6a ust. 7 ustawy Prawo bankowe, jest niemo偶liwe z uwagi na ilo艣膰 poziom贸w podwykonawstwa.

Dotychczasowe sposoby rozwi膮zania problemu

Rozwi膮zaniem problemu – sugerowanym tak偶e przez KNF – jest obecnie tworzenie um贸w wielostronnych, kt贸rych stron膮 s膮 wszystkie te podmioty, kt贸rych udzia艂 w projekcie powoduje przekroczenie limitu podwykonawc贸w. Wypracowanie konsensusu w tak z艂o偶onym uk艂adzie podmiotowym jest jednak czasoch艂onne. Model ten nie sprawdzi si臋 tak偶e wtedy, gdy problematyczny z punktu widzenia 鈥炁俛艅cuszka powierze艅鈥 dostawca nie zgodzi si臋 na przyj臋cie nieograniczonej odpowiedzialno艣ci wobec klient贸w banku, co jest wymogiem ustawowym wobec wykonawc贸w zawieraj膮cych umow臋 outsourcingu bankowego.

Z powy偶szych przyczyn sektor bankowy z niecierpliwo艣ci膮 oczekuje zmiany podej艣cia do 艂a艅cuszka outsourcingowego.

Projektowane rozwi膮zanie

W projektowanej nowelizacji zosta艂a zawarta propozycja odej艣cia od zakazu 鈥炁俛艅cuszka powierze艅鈥. Projektodawca zaproponowa艂 dodanie po ust. 6a ust. 7 ustawy Prawo bankowe, dodatkowego ust. 7a zgodnie z kt贸rym: 鈥濸rzedsi臋biorca lub przedsi臋biorca zagraniczny, kt贸remu powierzono wykonywanie okre艣lonych czynno艣ci zgodnie z ust. 7 pkt 1, po uzyskaniu pisemnej zgody banku mo偶e powierzy膰 innemu (dalszemu) przedsi臋biorcy lub przedsi臋biorcy zagranicznemu, w drodze odr臋bnej umowy, wykonywanie tych czynno艣ci, z zachowaniem tajemnicy prawnie chronionej.鈥.

Cho膰 kierunek zmian w艣r贸d komentator贸w jest oceniany pozytywnie, pojawiaj膮 si臋 tak偶e g艂osy krytyki wobec tej propozycji. W膮tpliwo艣ci interpretacyjne dotycz膮 m. in. tego czy ust. 7a ustawy Prawo bankowe nie ogranicza dalszego powierzenia do wy艂膮cznie jednego 鈥瀌alszego przedsi臋biorcy鈥, poniewa偶 tak wynika z dos艂ownego brzmienia proponowanego postanowienia. Uzasadnienie do projektu wskazuje jednak, 偶e intencj膮 by艂o dopuszczenie podpowierzenia w pe艂nym zakresie. Tak te偶, zgodnie z zasadami techniki prawodawczej, nale偶a艂oby rozumie膰 komentowane postanowienie.

Z ca艂膮 pewno艣ci膮, je偶eli proponowana zmiana wejdzie w 偶ycie, znacznie zwi臋kszy si臋 liczba dost臋pnych na rynku rozwi膮za艅 chmurowych zdolnych do sprostania regulacjom outsourcingu bankowego. Zmiana otworzy drog臋 wielu dostawcom IT do oferowania swoich produkt贸w bankom w Polsce.

Nieograniczona odpowiedzialno艣膰 鈥 praktyczny problem dostawc贸w

W projekcie nowelizacji ustawy Prawo bankowe nie zosta艂a natomiast zaadresowana istotna dla praktyki kwestia wymogu przyj臋cia przez dostawc臋 nieograniczonej odpowiedzialno艣ci za szkody wyrz膮dzone klientom banku z tytu艂u niewykonania lub nienale偶ytego wykonania umowy outsourcingu bankowego. Wym贸g ten wynika z art. 6b ustawy Prawo bankowe, kt贸ry zakazuje nie tylko ca艂kowitego wy艂膮czenia tego rodzaju odpowiedzialno艣ci w umowie outsourcingowej, ale tak偶e jakiegokolwiek jej ograniczenia.

Wym贸g ten przysparza sporo problem贸w w praktyce. Dostawcy zagraniczni lub nale偶膮cy do zagranicznej grupy kapita艂owej, z uwagi m. in. na wewn臋trzne wymogi korporacyjne, na og贸艂 nie mog膮 zgodzi膰 si臋 na nielimitowan膮 odpowiedzialno艣膰. Jest to o tyle problematyczne, 偶e w Polsce us艂ugi chmurowe 艣wiadczy wiele podmiot贸w b臋d膮cych cz臋艣ci膮 zagranicznych grup kapita艂owych. Jako 偶e tre艣膰 art. 6b ustawy Prawo bankowe  jest adresowana do podmiot贸w zawieraj膮cych umow臋 outsourcingow膮 鈥 dostawcy us艂ug chmurowych najcz臋艣ciej nie decyduj膮 si臋 na bycie stron膮 takiej umowy w modelu wielostronnym, kt贸ry pozwala na unikni臋cie 鈥炁俛艅cuszka powierze艅鈥.

Dostawca oprogramowania, je偶eli chce je dostarcza膰 do banku z wykorzystaniem chmury, staje wi臋c przed wyzwaniem wzi臋cia na siebie odpowiedzialno艣ci za szkody klient贸w banku 鈥 nie tylko wyrz膮dzone przez w艂asn膮 organizacj臋, ale tak偶e przez dostawc臋 chmury jako podwykonawc臋. Dostawca chmury – nie b臋d膮c stron膮 umowy outsourcingowej a jedynie podwykonawc膮 – swoj膮 odpowiedzialno艣膰, w tym t膮 wobec klient贸w banku, standardowo zlimituje.

Zwi臋kszone ryzyko dostawcy oprogramowania polega zatem na tym, 偶e korzystaj膮c z us艂ug takiego podmiotu jako podwykonawcy, dostawca oprogramowania – w przypadku szk贸d poniesionych przez klient贸w banku – nie b臋dzie m贸g艂 domaga膰 si臋 od dostawcy chmury rekompensaty powy偶ej limitu ustalonego w 艂膮cz膮cej ich umowie, jednocze艣nie za te same szkody odpowiadaj膮c wobec banku w spos贸b nielimitowany.

Chocia偶 w praktyce ryzyko wyst膮pienia takiego zdarzenia, kt贸rego dotyczy art. 6b ustawy Prawo bankowe nie jest du偶e, nie zmienia to jednak faktu, 偶e regulacja ta zmusza dostawc贸w oprogramowania do przyjmowania na siebie ryzyka nieuzasadnionego gospodarczo.

Cel regulacji a potrzeby biznesowe 鈥 jak je pogodzi膰?

Potrzeb臋 dodania do projektu r贸wnie偶 zmiany w obszarze odpowiedzialno艣ci za szkody klient贸w banku postuluje m. in. Polska Izba Informatyki i Telekomunikacji[1]. PIIT s艂usznie zwraca uwag臋, 偶e takie 聽podej艣cie nie jest stosowane w 偶adnym innym pa艅stwie Unii Europejskiej. Restrykcyjne regulacje nie maj膮 r贸wnie偶 uzasadnienia w 偶adnych przepisach unijnych czy wytycznych EBA. Takie ukszta艂towanie przepis贸w powoduje natomiast, 偶e wdra偶anie rozwi膮za艅 chmurowych w polskich bankach przebiega du偶o mniej dynamicznie ni偶 w innych krajach cz艂onkowskich.

Przepis art. 6b ustawy Prawo bankowe ma na celu zapewnienie klientom banku pe艂nego zaspokojenia roszcze艅 powsta艂ych w wyniku wykonywania us艂ug outsourcingowych, co jest oczywi艣cie s艂uszne. Warto jednak zauwa偶y膰, 偶e w takiej sytuacji w pierwszej kolejno艣ci klient banku b臋dzie dochodzi艂 swoich roszcze艅 wobec samego banku, kt贸ry co do zasady takie roszczenie b臋dzie w stanie w ca艂o艣ci zaspokoi膰. Interes klienta nie b臋dzie zatem w 偶aden spos贸b zagro偶ony przez limitacj臋 odpowiedzialno艣ci dostawc贸w outsourcingowych w umowie z bankiem.

Z kolei, z punktu widzenia relacji dostawca 鈥 bank, odpowiedzialno艣膰 wobec os贸b trzecich zwi膮zana z wykonywaniem umowy wi膮偶e si臋 przede wszystkim z podzia艂em  ryzyka zwi膮zanego z danym projektem. W zale偶no艣ci od rodzaju przedsi臋wzi臋cia zasadne mo偶e by膰 aby ten punkt ci臋偶ko艣ci przewa偶a艂 w jedn膮 lub drug膮 stron臋.

Ani zatem z biznesowego punktu widzenia ani z punktu widzenia bezpiecze艅stwa interes贸w klienta banku ca艂kowity zakaz limitacji odpowiedzialno艣ci dostawcy nie jest uzasadniony.

Z racji krzy偶owania si臋 regulacji z ustawy Prawo bankowe z innymi re偶imami outsourcingu regulowanego, zasadne by艂oby natomiast ukszta艂towanie regulacji w spos贸b analogiczny do rozwi膮za艅 zastosowanych np. w ustawie o obrocie instrumentami finansowymi, gdzie ograniczenie odpowiedzialno艣ci dostawc贸w re偶imie outsourcingu regulowanego jest dopuszczalne.


[1] Stanowisko ws. projektu ustawy o o zmianie niekt贸rych ustaw w zwi膮zku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestor贸w na tym rynku, 09.08.2021 r., PIIT/933/21

Reklama: