⎜ Outsourcing a cloud v bankovnictví
⎜ Outsourcing a cloud v bankovnictví
nová doporučení a praktické zkušenosti
XXXx. Xxxxx Xxxxx, LL.M.
Osnova
1 Outsourcing jako pojem a jeho vývoj
2 Právní regulace
3 EBA GL a povinnosti (nejen) banky
4 Smlouva o outsourcingu – životní cyklus
5 Závěr
Proč se otázkou outsourcingu zabývat právě nyní?
• Dne 30. 9. 2019 nabyly účinnosti Obecné pokyny EBA k outsourcingu
(EBA/GL/2019/02 – EBA GL)
– Relevantní pro: úvěrové instituce (zejm. banky), vybrané investiční podniky, platební instituce a instituce elektronických peněz…
– Nevztahují se: např. ryzí AISP nebo pojišťovny
• EBA GL dopadají na nové i stávající smlouvy o outsourcingu!
🡪 povinnosti je nezbytné zohlednit do budoucna, ale i zpětně
Nejdříve však stručný úvod do tématu…
2. Právní regulace
20.11.2019 4 I
Právní regulace (stručný přehled)
• Právo EU – zejm.:
– nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních
požadavcích na úvěrové instituce a investiční podniky (CRR)
– směrnice Evropského parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky (CRD IV)
• Právo ČR – zejm.:
– zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů (ZoB) 🡪 základní právní rámec, mj. požadavky na funkční řídící a kontrolní system
– vyhláška č. 163/2014 Sb. o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry (Vyhláška) 🡪 upravuje bližší požadavky na řídící a kontrolní systém, vč. základních povinností banky v souvislosti s outsourcingem
• např. definice outsourcingu, informační povinnost v případě outsourcingu významných činností, požadavky na řízení rizika outsourcingu, vč. požadavků na obsah smlouvy
– a další – např. vyhláška NÚKIB č. 82/2018 Sb., o kybernetické bezpečnosti
Právní regulace (stručný přehled)
• Úřední sdělení ČNB ze dne 19. srpna 2016 k výkonu činnosti na finančním trhu – cloud computing (ÚS ČNB)
– týká se nejen bank, ale i spořitelních a úvěrních družstev, pojišťoven a zajišťoven
– požadavky na řídící a kontrolní systém v případě outsourcingu ve formě cloud computing
• EBA GL – tj. Obecné pokyny EBA k outsourcingu z 29. února 2019
(EBA/GL/2019/02) 🡪 viz dále
• Ostatní – např. BaFin Guidance on outsourcing to cloud service providers
– bližší instrukce / výklad k povinnostem v případě outsourcingu s využitím cloudových služeb
3. EBA GL a povinnosti (nejen) banky
20.11.2019 7 I
EBA GL obecně
• Klíčová regulatorní východiska pro outsourcingové smlouvy i pro vnitřní procesy s nimi spojené
– vč. outsourcingu formou cloud computingu (sjednocení úpravy)
• Doplňují obecné pokyny EBA k vnitřnímu systému správy a řízení z 21. března 2018 (EBA/GL/2017/11)
• Komplexní úprava 🡪 EBA GL ruší / nahrazují:
– obecné pokyny CEBS o outsourcingu ze dne 14. 12. 2006
– doporučení EBA ohledně zajištění cloudových služeb u externích poskytovatelů
(EBA/REC/2017/03)
EBA GL obecně
• Proč?
– Harmonizace úpravy 🡪 podmínky outsourcingu v případě bank nebyly harmonizovány stejně (a do té úrovně) jako pro instituce dle XxXXX XX a PSD2
– Reakce na nové trendy v bankovnictví 🡪 rozvíjející se využívání outsourcingu, zejm. v
kontextu spolupráce s FinTech sektorem (3.0 outsourcing)
– Větší regulace subjektů z non-EU zemí 🡪 tj. institucí, které (digitálně) vstupují na EU trh, přitom jsou řízeny ze třetích zemí a v EU mají jen prázdné schránky
EBA GL obecně
• Na jaké smlouvy o outsourcingu EBA GL dopadají?
🡪 na všechna ujednání o outsourcingu uzavřená, podrobená přezkumu nebo pozměněná k 30. 9. 2019 nebo později
• V případě stávajících smluv povinnost přezkumu do 31. 12. 2021
– obecně povinnost přezkumu stávajících smluv o outsourcingu a jejich úprava do souladu s EBA GL
– v případě prodlení u smluv o outsourcingu kritických / důležitých funkcí povinnost informovat
dozorový orgánu (ČNB)
• Povinnost plně zdokumentovat stávající smlouvy o outsourcingu
– termín do 31. 12. 2021 (netýká se smluv o outsourcingu cloudových služeb)
Co EBA GL obsahují?
• Definici a způsob určení:
– outsourcingu (vč. cloud computingu)
– kritických nebo důležitých funkcí / významných činností, jejichž outsourcing podléhá přísnější požadavkům
• Povinnosti mj. v oblasti:
– skupinového využívání outsourcingu
– systému správy a řízení rizik (vč. komplexních povinností v oblasti dokumentace / evidence outsourcingových smluv!)
– procesu sjednání outsourcingu
• Základním principem proporcionalita
🡪 povinnosti plněny s přihlédnutím k individuálnímu rizikovému profilu, povaze a obchodnímu modelu banky,
jakož i ke složitosti outsourcovaných funkcí, rizikům vyplývajícím z outsourcingu atd.
4. Smlouva o outsourcingu – životní cyklus
20.11.2019 12 I
Fáze životního cyklu smlouvy o outsourcingu
• Fáze 1 – Analýza před uzavřením smlouvy
– kvalifikace outsourcingu a jeho povahy
– posouzení, zda jsou splněny podmínky dohledu
– identifikace a vyhodnocení rizik
– hloubková kontrola poskytovatele
– identifikace a posouzení střetu zájmů
• Fáze 2 – Příprava smlouvy
• Fáze 3 – Monitoring
• Fáze 4 – Ústupová strategie
Fáze 1 – Definice outsourcingu
• Správná kvalifikace ujednání: zcela stěžejní krok č. 1!
🡪 ovlivňuje šíří regulatorních povinností banky, vč. obsahu smlouvy o outsourcingu
• Základní otázky:
– Jedná se o outsourcing?
– Pokud se jedná o outsourcing, jedná se o outsourcing s využitím cloud computingových služeb?
– Pokud se jedná o outsourcing, jedná se o outsourcing významné činnosti (kritické / důležité
funkce)?
• V pochybnostech doporučený závěr:
🡪 jedná se o outsourcing
🡪 jedná se o outsourcing významné činnosti
Fáze 1 – Co outsourcingem je?
Odst. 12 EBA GL
„…jakékoli ujednání mezi institucí…a poskytovatelem služeb, na jehož základě dotyčný poskytovatel služeb vykonává proces, službu nebo činnost, které by jinak byly prováděny samotnou institucí…“
§ 12 Vyhlášky
„Pokud
některou
činnost, kterou by jinak
vykonávala nebo mohla vykonávat povinná osoba
sama, vykonává povinná osoba prostřednictvím jiné osoby (dále jen „outsourcing“), není tím dotčena odpovědnost povinné osoby.“
Odst. 8 ÚS ČNB
„...zajištění výkonu určitých funkcí nebo činností poskytovatele finančních služeb jinou osobou…“
Fáze 1 – Cloud Computing
Odst. 12 EBA GL
„Cloudové služby znamenají služby poskytované za použití cloud computingu, což je model, který umožňuje pohodlný sííový přístup kdykoliv a odkudkoliv ke sdílené množině konfigurovatelných výpočetních zdrojů (např. sítím, serverům, úložištím, aplikacím a službám), které lze rychle poskytnout či uvolnit s vynaložením minimálních nároků na jejich správu anebo zásahy ze strany poskytovatele služby.“
Odst. 2 ÚS ČNB
„Pro účely tohoto úředního sdělení se pod pojmem cloud computing rozumí model uplatňovaný v oblasti informačních a komunikačních systémů a technologií, který umožní získat sííový přístup ke konfigurovatelným výpočetním prostředkům (např. sítě, servery, datová úložiště, aplikace a služby), které jsou sdíleny větším množstvím uživatelů a jejichž kapacita je poskytována a opět uvolňována s minimálními nároky na jejich správu anebo na intervenci poskytovatele cloud computingu.“
• Druhy: veřejný, soukromý, komunitní, hybridní cloud
• Modely: IaaS, PaaS, SaaS
Fáze 1 – Outsourcing významných činností
§ 107 Vyhlášky
„Významnou činností“ se rozumí:
- činnosti takového významu, že nedostatek nebo selhání při jejich zajišťování může mít významný dopad na schopnost povinné osoby plnit obezřetnostní pravidla nebo na nepřetržitost výkonu jejích činností;
- činnosti, jejichž poskytování je podmíněno udělením oprávnění k činnosti příslušným orgánem dohledu,
- činnosti, které mají významný vliv na řízení rizik
povinné osoby,
- řízení rizik spjatých s výše uvedenými činnostmi.
Odst. 29 EBA GL
Funkce by se měla vždy považovat za „kritickou nebo důležitou“:
- v případě, že by její nesprávné plnění nebo neplnění vážně ohrozily na
straně banky:
- trvalé splňování podmínek bankovní licence či jiných zákonných povinností;
- její finanční výkonnost; nebo
- zdraví či kontinuitu jejich bankovních služeb a činností;
- jsou-li externě zajišťovány provozní úkoly funkcí vnitřní kontroly, pokud by neposkytování nebo nesprávné poskytování externě zajišťované funkce mohlo mít nepříznivý dopad na účinnost funkce vnitřní kontroly;
- jestliže mají v úmyslu externě zajišťovat bankovní činnosti nebo platební služby v rozsahu, který by vyžadoval povolení ze strany příslušného orgánu.
Fáze 1 – Ostatní
• Posouzení, zda jsou splněny podmínky dohledu
– pokud by výkon funkce vyžadoval povolení / registraci 🡪 povinnost ověřit, že poskytovatel
podmínku splňuje (dodatečné podmínky v případě poskytovatele z třetí země)
• Identifikace a vyhodnocení rizik
– identifikace a posouzení operačních rizik spojených s outsourcingem 🡪 rozhodnutí, zda bude /
nebude smlouva uzavřena, příp. implementace vhodných opatření
• Hloubková kontrola
– cílem zajistit vhodnost poskytovatele (posuzuje se např. obchodní model, finanční situace, vlastnická struktura, veřejnoprávní dohled, odpovídající technická a organizační opatření na ochranu údajů, ALE taky soulad s hodnotami / kodexem chování banky, eticky a společensky odpovědné jednání apod.)
– dodatečné podmínky v případě outsourcingu významných činností (např. obchodní pověst, dostatečné schopnosti, znalosti, kapacity, zdroje apod.)
• Identifikace a posouzení možného střetu zájmů
Fáze 2 – Forma a obsah smlouvy obecně
• Forma smlouvy
– § 12 odst. 3 Vyhlášky: forma umožňující zachycení jejího obsahu, kontrolovatelnost a vymahatelnost, jakož i uchovatelnost
– Odst. 74 EBA GL: práva a povinnosti jasně přiděleny a vymezeny v písemné smlouvě
• Obsah smlouvy
– Odst. 37 přílohy č. 7 Vyhlášky – požadavky nejen na smlouvy o outsourcingu významných činností
– Odst. 75 EBA GL – požadavky pouze na smlouvu o outsourcingu významných činností
• Oddíl 13 EBA GL však dále obsahuje obecné povinnosti, které se vztahují na všechny smlouvy o outsourcingu
Fáze 2 – Obsah smlouvy
Odst. 75 EBA GL | |
• jasný popis outsourcované funkce • datum počátku smlouvy, výpovědní lhůty, příp. datum ukončení • rozhodné právo • finanční závazky stran • podmínky řetězení outsourcingu • místa poskytování služeb a zpracování údajů, vč. povinnosti informovat o jejich změně • přístupnost, dostupnost, integrita, ochrana a bezpečnost údajů • právo monitoringu výkonnosti poskytovatele | • SLA • informační povinnost poskytovatele • pojištění, je-li požadování, vč. jeho výše • požadavky v oblasti pohotovostních plánů • přístup k údajům v případě ukončení činnosti poskytovatele • povinnost poskytovatele spolupracovat s dozorovými orgány • odkaz na pravomoci dozorového orgánu podle BRRD • neomezené právo banky provádět kontrolu poskytovatele • práva na ukončení smlouvy |
Fáze 3 – Monitoring
• Průběžný monitoring všech poskytovatelů outsourcingu
– bez ohledu na jeho (ne)významnost
– zaměření na zajištění dostupnosti, integrity a zabezpečení údajů a informací
• Pravidelná aktualizace hodnocení rizik spojených s konkrétním outsourcingem
• Vhodná reakce v případě zjištění nedostatků
– vč. ukončení smlouvy
Fáze 4 – Ústupová strategie
• Banka by měla disponovat ústupovou strategií ve vztahu k outsourcingu
– min. v případě outsourcingu významných činností
• Ústupová strategie by měla zahrnovat reakci na možné:
– ukončení smlouvy o outsourcingu
– selhání poskytovatele
– nedodržování SLA
– zvýšení rizik
• Cílem ústupové strategie je zajistit, aby v případě výpadku nebyla nepřiměřeně narušena činnost banky
🡪 výsledkem „step-list“, který popis převedení výkonu funkce na jiného poskytovatele, opětovný interní výkon funkce
5. Závěr
20.11.2019 23 I
Shrnutí
• Aktualizace systému řízení a kontroly rizik
– s ohledem na obsah EBA GL (a Vyhlášky a ÚS ČNB)
• Identifikace veškerých smluv o outsourcingu a jejich dokumentace / evidence
– přičemž je nezbytná jejich správná kvalifikace (významná činnost; cloud computing)
• Revize veškerých smluv o outsourcingu a zajištění případné nezbytné úpravy
– tj. zajištění jejich souladu s požadavky (nejen) EBA GL
20.11.2019 24 I
DĚKUJI ZA POZORNOST! TBD
XXXx. Xxxxx Xxxxx, LL.M.
Advokát / Partner
ROWAN LEGAL
x000 000 000 000