Podwykonawcy a outsourcing bankowy
Definicja podwykonawcy
Zacznijmy od braku spójności w rozumieniu pojęcia podwykonawcy[1] w Prawie bankowym oraz Komunikacie Chmurowym UKNF[2]. Biorąc pod uwagę regulacje Prawa bankowego, jako „podwykonawcę” można zdefiniować jako podmiot, któremu dostawca powierza wykonywanie czynności służących realizacji świadczenia głównego, wynikającego z umowy outsourcingowej [3].
Z kolei Komunikat Chmurowy, który – jak zapewnia UKNF – nie zmienia praw i obowiązków wynikających z powszechnie obowiązujących przepisów prawa, na potrzeby identyfikowania podwykonawców dostawców usług chmurowych kieruje się kryterium, czy dany podmiot posiada albo może mieć identyfikowalny dostęp do informacji przetwarzanych przez bank[4]. Taka definicja znacznie ułatwia korzystanie przez banki z usług w chmurze obliczeniowej, do których stosuje się Komunikat Chmurowy.
Banki powinny jednak pamiętać, że na potrzeby badania relacji pomiędzy dostawcą usługi opartej o chmurę obliczeniową a jego podwykonawcą zapewnianiającym infrastrukturę chmurową, zastosowanie znajdzie jeszcze definicja z Prawa bankowego.
Czytaj także: Raport Specjalny | Horyzonty Bankowości 2023 – Technologie | Bankowość w chmurze – moda czy konieczność?
Łańcuch podwykonawców
Kolejnym ograniczeniem po stronie podwykonawców jest zakaz tzw. „łańcucha outsourcingowego”. Dotyczy ono możliwości korzystania przez dostawcę wyłącznie do podwykonawców I rzędu[5] i oznacza, że podwykonawcy I rzędu nie mogą korzystać z własnych podwykonawców (podwykonawców II rzędu).
Przykładem jest sytuacja, w której warstwa technologiczna usługi jest oparta o rozwiązanie informatyczne dostarczane przez podmiot trzeci (podwykonawca I rzędu), które z kolei jest posadowione na chmurze obliczeniowej dostarczanej przez np. spółkę z grupy Microsoft (podwykonawca II rzędu).
Pamiętajmy, że powyższe ograniczenie nie wyłącza tzw. „outsourcingu gwiaździstego”, w którym dostawca korzysta z kilku podwykonawców I rzędu.
Realizacja całości usługi przez podwykonawców
Zgodnie z Prawem bankowym, dostawca może powierzyć swoim podwykonawcom wyłącznie czynności służące realizacji świadczenia głównego, wynikającego z umowy outsourcingowej, a nie samo świadczenie główne[6].
W związku z tym, w każdym przypadku należy zwrócić szczególną uwagę na podział i zakres zadań realizowanych przez naszego dostawcę oraz przez jego podwykonawców. Może się bowiem okazać, że czynności powierzone podwykonawcy są świadczeniem głównym, co jest sprzeczne z Prawem bankowym. Przykładem jest sytuacja, w której dostawca jedynie fakturuje bank, a całość usługi jest faktycznie realizowana przez jego podwykonawców, np. spółki z grupy dostawcy.
Czytaj także: Data center: globalni gracze coraz bardziej zainteresowani polskim rynkiem
Ograniczenia terytorialne
Pamiętajmy też o dokładnej weryfikacji, gdzie podwykonawcy mają swoją siedzibę lub będą realizowali powierzone im czynności. Jeśli odpowiedź na którekolwiek z tych pytań wskazuje na państwo spoza Unii Europejskiej lub nienależące do Europejskiego Obszaru Gospodarczego, Prawo bankowe wymaga uprzedniej zgody Komisji Nadzoru Finansowego na skorzystanie ze wsparcia takiego podwykonawcy. Procedura w tej sprawie oprócz wymogu przedstawienia przez bank szeregu dokumentów, według mojej wiedzy, może trwać ponad rok, oczywiście bez gwarancji uzyskania takiej zgody.
W dynamicznie rosnącym znaczeniu technologii w działalności banku, rok opóźnienia może zdecydować o być albo nie być dla projektu.
Odpowiednie zmapowanie kwestii podwykonawców jest jedną z istotniejszych kwestii w ramach planowania usługi outsourcingowej. W zależności wyników tej analizy, projekt może zostać znacznie opóźniony, a nawet okazać się niemożliwy do realizacji w zakładanym kształcie. Dlatego istotne jest, aby uzyskać potrzebne informacje od potencjalnego dostawcy już na etapie planowania usługi, np. w odpowiedzi na RFP.
Maciej Tabor,
ekspert z zakresu prawa nowych technologii
w kancelarii Lawspective Litwiński Valirakis Radcowie Prawni Sp.k.
[1] https://legislacja.rcl.gov.pl/projekt/12349203.
[1] Stosowane są również pojęcia „poddostawcy” oraz „podoutsourcera”.
[2] Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, dostępny na stronie www UKNF (https://www.knf.gov.pl/dla_rynku/fin_tech/chmura_obliczeniowa).
[3] Art. 6a ust. 7 Prawa bankowego.
[4] Zgodnie z Komunikatem Chmurowym, poddostawca to podmiot, który świadczy usługi dla dostawcy usług chmury obliczeniowej, służące dostarczaniu usługi chmury obliczeniowej dla podmiotu nadzorowanego i posiada albo może posiadać identyfikowany dostęp do informacji przetwarzanych przez podmiot nadzorowany.
[5] Wynika to z art. 6a ust. 7 pkt 1 Prawa bankowego.
[6] Art. 6a ust. 7 pkt 1 Prawa bankowego.
* Artykuł nie uwzględnia planowanej nowelizacji Prawa bankowego w zakresie m.in. outsourcingu[7].