Innowacje finansowe (FinTech)

O specjalizacji

FinTech to sektor, który rozwija się w imponującym tempie. Rozwój niezmiennie wiąże się z nowymi wyzwaniami prawnym i koniecznością wdrażania zmian w funkcjonowaniu podmiotów rynku finansowego. Nasza kancelaria zapewnia w tym zakresie wyczerpującą obsługę prawną. Od lat doradzamy podmiotom wdrażającym i rozwijającym nowe technologie w usługach finansowych.

Wspieramy Klientów działających w sektorach takich jak: bankowość, usługi płatnicze, spółdzielcze kasy oszczędnościowo kredytowe, pośrednictwo kredytowe i instytucje pożyczkowe. Pracujemy zarówno z podmiotami, które dopiero planują rozpocząć działalność w powyższych sektorach, jak również z obecnymi na rynku od lat. Doradzamy także podmiotom z branży IT, dostarczającym rozwiązania dla przedsiębiorstw z sektora finansowego, w tym FinTech.

Nasze doświadczenia w zakresie prawa innowacji finansowych są bardzo szerokie. W toku praktyki prowadziliśmy złożone projekty międzybranżowe, w których rozwiązania prawne były umiejscowione na styku regulacji całego rynku finansowego. Prowadzenie tak złożonych projektów wymaga wiedzy i doświadczenia, którymi bezsprzecznie wyróżniają się nasi specjaliści.

Co robimy?
  • prowadzimy postępowania przed Komisją Nadzoru Finansowego (KNF) i Prezesem Narodowego Banku Polskiego (NBP),
  • wspieramy Klientów w kontaktach z organami nadzoru – Generalnym Inspektorem Informacji Finansowej (GIIF), Prezesem Urzędu Ochrony Danych Osobowych (UODO) i Prezesem Urzędu Ochrony Konkurencji i Konsumentów (UOKiK),
  • zapewniamy kompleksową pomoc związaną z outsourcingiem regulacyjnym, w tym z wykorzystaniem chmury obliczeniowej (cloud computing),
  • pomagamy skutecznie chronić tajemnice zawodowe i dane osobowe w działalności podmiotów z sektora FinTech,
  • przeprowadzamy audyty umów i regulaminów dla banków, instytucji płatniczych, instytucji pożyczkowych oraz innych podmiotów świadczących usługi z sektora finansowego oraz zapewniamy tym podmiotom bieżące wsparcie prawne w tym w relacjach B2B i B2C, a także B2sB,
  • doradzamy przy regulacyjnych aspektach przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/ KYC),
  • organizujemy szkolenia i warsztaty z zakresu prawa innowacji finansowych, w tym dla organizacji branżowych.
Korzyści ze współpracy

Przedsiębiorstwa działające w sektorze FinTech muszą być na bieżąco z zagadnieniami takimi jak m.in. sztuczna inteligencja (AI), big data, blockchain, IoT (Internet of Things), czy cloud computing. To kwestie niezwykle skomplikowane pod względem prawnym, chociażby ze względu na nieprecyzyjne przepisy lub wręcz ich brak. Powierzenie obsługi prawnej kancelarii, wyspecjalizowanej w prawie innowacji finansowych (FinTech), to najrozsądniejsze rozwiązanie.

Wyróżnia nas wysoko specjalistyczna, unikalna wiedza z obszaru prawainnowacji finansowych. Sektor finansowy znamy od podszewki.Ponadprzeciętne doświadczenie i przygotowanie merytoryczne naszychspecjalistów zostały docenione w międzynarodowych rankingachprawniczych Chambers Europe oraz Legal 500.

Innowacje finansowe wymagają równie innowacyjnej, odważnej, często niestandardowej obsługi prawnej. W taki właśnie sposób pracujemy z Klientami, a nasze podejście przynosi wymierne rezultaty.

Dlaczego warto?
  • szczegółowa, stale pogłębiana wiedza z zakresu m.in. cloud computing, innowacyjnych płatności TPP (AIS/ PIS/ CAF), blockchain, crowdfundingu, bancassurance i innych zagadnień istotnych dla branży innowacji finansowych,
  • odwaga we wdrażaniu nieszablonowych rozwiązań, w tym na rynkach międzynarodowych,
  • dogłębna znajomość potrzeb i problemów sektora usług finansowych, potwierdzona m.in. udziałem specjalistów kancelarii w procesach legislacyjnych w imieniu szeregu organizacji branży FinTech,
  • setki zrealizowanych z powodzeniem projektów,
  • szeroki, w pełni kompleksowy zakres usług,
  • wiedza i doświadczenie potwierdzone wysokimi pozycjami w rankingachprawniczych w kategoriach FinTech oraz Banking & Finance.

Doradcy

Powiązane artykuły

13 lis 2023

Instytucje pożyczkowe pod nadzorem KNF

Wraz z nadejściem nowego roku kalendarzowego instytucje pożyczkowe zostaną objęte instytucjonalnym nadzorem Komisji Nadzoru Finansowego (KNF). Zmiany prawne w tym obszarze mają swoje źródło w tzw. ustawie antylichwiarskiej. Z jednej strony wprowadza ona szereg nowych obowiązków względem instytucji pożyczkowych, z drugiej natomiast przyznaje KNF „twarde” uprawnienia nadzorcze, które znacznie wykraczają poza dotychczasową legitymację do prowadzenia rejestru instytucji pożyczkowych oraz formalnej weryfikacji spełniania warunków rejestracji. W artykule skupimy się na przedstawieniu najważniejszych zmian prawnych w przepisach ustawy o kredycie konsumenckim (UKK), które w najbliższym czasie dotkną (lub już dotknęły) polski sektor pożyczkowy, z uwzględnieniem ostatnio przyjętej na szczeblu UE nowej dyrektywy ws. umów o kredyt konsumencki (CCD2).

25 wrz 2023

Monitor Prawniczy, Dodatek specjalny: Prawo innowacji finansowych (FinTech) 2023

Ukazał się drugi w historii „Monitora Prawniczego” dodatek specjalny poświęcony zagadnieniom prawa innowacji finansowych. Zostały w nim omówione aktualne problemy stosowania przepisów prawa stanowionego i tzw. regulacji soft low organów nadzoru oraz wyzwania dotyczące planowanych uregulowań unijnych i polskich. W dodatku znalazło się aż 12 artykułów, w tym 3 autorstwa ekspertów TKP.

W artykule pt. „Wymogi prawne funkcjonowania dedykowanego interfejsu (API) umożliwiającego dostęp do rachunków płatniczych w ramach open banking”, mec. prof. UEK dr hab. Jan Byrski i mec. dr Michał Synowiec zaprezentowali analizę obowiązujących ram regulacyjnych w zakresie funkcjonowania dedykowanego interfejsu API przy świadczeniu usługi inicjowania transakcji płatniczej (PIS) oraz usługi dostępu do informacji o rachunku (AIS).

Natomiast mec. Mateusz Jagodziński w publikacji pt. „System informacji finansowej w kontekście podmiotów rynku płatniczego” omówił nowe regulacje ustawy o Systemie Informacji Finansowej, wskazując, że przyczynią się one do „uszczelnienia” systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, z drugiej zaś strony nałożoną one na instytucje zobowiązane dodatkowe obowiązki, podlegające sankcjom.

Z kolei mec. Przemysław Janczak w tekście pt. „Planowane zmiany w europejskim systemie regulacji AML/CFT” omówił w nim propozycje nowego pakietu regulacyjnego w obszarze przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, które będą dotyczyły m.in. podmiotów z branży kryptoaktywów.

Zapraszamy do lektury!

13 wrz 2023

Ustawa o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku (tzw. warzywniak)

29 sierpnia 2023 r. w Dzienniku Ustaw Rzeczpospolitej Polskiej została opublikowana ustawa z dnia
16 sierpnia 2023 roku o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku. W ramach ww. ustawy, nazywanej „warzywniakiem”, nowelizacji ulegnie kilkadziesiąt aktów prawnych, regulujących m.in. zasady funkcjonowania rynku finansowego, w szczególności bankowego, płatniczego, kapitałowego i ubezpieczeniowego w Polsce. Na szczególną uwagę zasługuje nowelizacja przepisów ustawy z dnia 29 sierpnia 1997 roku – Prawo bankowe, w ramach której zmianie ulegną regulacje dotyczące outsourcingu bankowego.

02 sie 2023

Newsletter Fintech - czerwiec/lipiec 2023

Zapraszamy do zapoznania się z naszym najnowszym Newsletterem FinTech dedykowanym dla szeroko pojmowanego sektora instytucji finansowych.

20 cze 2023

Mapa Polskiego Fintechu 2023

Cashless.pl opublikowało Mapę Polskiego Fintechu 2023, która jest szóstą edycją projektu zapoczątkowanego w 2018 r. Traple Konarski Podrecki i Wspólnicy zostało w nim wyróżnione w gronie doradców sektora fintech.

Raport dostarcza różnorodnych informacji na temat aktualnej sytuacji finansowej fintechów działających w Polsce, w tym liczby zatrudnionych i zmiany w zatrudnieniu, wyniku finansowego, planów inwestycyjnych firm, ich właścicieli itd. Analiza ma pomóc w zobrazowaniu kondycji, w jakiej znajduje się branża nowoczesnych usług finansowych w naszym kraju.

Od 2018 roku Mapa rozrosła się ze 187 do 360 firm operujących w sektorze fintech, zaś włączając nowy zakres analizy przeprowadzonej do tegorocznego raportu – tych podmiotów jest 417.

Nasi eksperci z zespołu FinTech, prof. UEK dr hab. Jan Byrski oraz dr Michał Synowiec mieli przyjemność brać udział w oficjalnej prezentacji Mapy.

06 cze 2023

Nowelizacja ustawy VAT nakłada nowe obowiązki na dostawców usług płatniczych

18 maja 2023 roku Prezydent podpisał ustawę z dnia 14 kwietnia 2023 r. o zmianie ustawy o podatku od towarów i usług i niektórych innych ustaw. Od 1 stycznia 2024 r. poszczególni dostawcy usług płatniczych, uczestniczący w transakcjach transgranicznych, zostaną objęci obowiązkiem raportowania niektórych transakcji transgranicznych do centralnego elektronicznego systemu informacji o płatnościach („CESOP”) zarządzanego przez Komisję Europejską.

16 maj 2023

AI w obszarze innowacji finansowych FinTech

11 maja 2023 roku w Parlamencie Europejskim wprowadzono zmiany do AI Act. W związku z tym, postanowiliśmy przygotować artykuł zawierający przegląd najpopularniejszych zastosowań sztucznej inteligencji w sektorze innowacji finansowych. Oprócz przykładów zastosowań AI zwracamy również uwagę na wyzwania regulacyjne, przed którymi stają zarówno odbiorcy, jak i dostawcy takich systemów.

04 mar 2023

Ustawa o Systemie Informacji Finansowej rozszerza obowiązki raportowe instytucji finansowych

10 lutego 2023 roku weszła w życie ustawa z dnia 1 grudnia 2022 r. o Systemie Informacji Finansowej, stanowiąca implementację 3 unijnych dyrektyw, w tym tzw. „V Dyrektywy AML”.

27 gru 2022

Wspieraliśmy już trzy podmioty w postępowaniach reautoryzacyjnych limited network

W tym roku zespół FinTech wspierał już trzy podmioty, które uzyskały wpis KNF do rejestru jako podmioty prowadzące działalność w ramach limited network.

18 gru 2020

Chambers & Partners - FinTech Legal in Poland 2021

Z przyjemnością informujemy, że zespół FinTech Kancelarii Traple Konarski Podrecki i Wspólnicy został wyróżniony w prestiżowym rankingu najlepszych kancelarii Chambers and Partners FinTech Legal in Poland 2021 (Band 2).

Ponadto, prof. UEK Jan Byrski, PhD hab. otrzymał indywidualną rekomendację i awans w tej kategorii w stosunku do zeszłego roku z Band 3 do Band 2.

22 paź 2019

Co dla sektora finansowego oznacza dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii

W dniu 7 października 2019 r. Rada Unii Europejskiej przyjęła dyrektywę w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii (dalej: „Dyrektywa”), która stanowi nie tylko punkt zwrotny w kwestii ochrony tzw. sygnalistów (ang. whistleblowers), ale także kolejne źródło obowiązków nałożonych na przedsiębiorców.

Ochrona sygnalistów od lat stanowi przedmiot bardziej lub mniej wzmożonej debaty na temat zakresu i kształtu regulacji prawnej, która ma to zjawisko opisywać. Niezależnie od punktu widzenia wydaje się, że stworzenie przemyślanych ram dla jej funkcjonowania jest wysoce pożądane z perspektywy interesu tak przedsiębiorców, jak i samych osób, którzy zgłaszają naruszenia w dobrej wierze.

Jakie regulacje dotyczące sygnalistów obowiązywały w Polsce dotychczas

Do momentu wejścia w życie ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „uAML”) ochrona sygnalistów nie była przedmiotem właściwie żadnej regulacji w polskim porządku prawnym[1]. Pomijając działania Prezesa UOKiK nakierowane na popularyzację zgłaszania nieprawidłowości, możliwość korzystania z anonimowej infolinii dla sygnalistów zgłaszających naruszenie prawa ochrony konkurencji i konsumentów oraz pojedyncze wystąpienia organów administracyjnych w tym przedmiocie[2], temat sygnalistów nie był szerzej poruszany w działalności administracji publicznej. Dość wskazać, że na gruncie polskiego prawa istniała dotychczas wyłącznie regulacja art. 23 ust. 2 ustawy o Państwowej Inspekcji Pracy, przewidująca możliwość wydania przez kontrolującego inspektora postanowienia o zachowaniu w tajemnicy jakiejkolwiek informacji mogącej identyfikować osobę wyjawiającą mu pewne informacje. Przepis ten nigdy jednak nie został uzupełniony o inne kwestie, na przykład o ochronę przed negatywnymi konsekwencjami zgłoszenia lub odpowiedzialność za dokonanie zgłoszenia w złej wierze.

Wspomniana uAML wprowadziła obowiązek wdrożenia przez instytucje obowiązane procedury anonimowego zgłaszania naruszeń. Zgodnie z art. 53 uAML powinna ona określać następujące elementy:

  • osobę odpowiedzialną za odbieranie zgłoszeń;
  • sposób odbierania zgłoszeń;
  • sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
  • sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
  • zasady zachowania poufności w przypadku ujawnienia tożsamości sygnalistów lub gdy ich tożsamość jest możliwa do ustalenia;
  • rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia;
  • termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.

Chcąc wzmocnić wydźwięk tej regulacji, ustawodawca obwarował obowiązek wdrożenia procedury karą administracyjną w wysokości do 5 milionów euro. Niezależnie od powyższego należy uznać, że w świetle postulatu szerokiego uregulowania kwestii ochrony sygnalistów istnienie regulacji skierowanej wyłącznie do podmiotów spełniających definicję instytucji obowiązanych wydaje się niewystarczające.

Jakie obowiązki wobec przedsiębiorców przewiduje Dyrektywa?

Dyrektywa przewiduje zobowiązanie określonych podmiotów do podjęcia wskazanych w niej działań nakierowanych na ochronę sygnalistów. Wśród przedsiębiorców, którzy mają być zobowiązani do wykonywania tych działań, Dyrektywa wymienia podmioty prywatne i publiczne. Przedsiębiorcy, którzy zostaną objęci nowymi regulacjami, to:

  • prywatne podmioty prawne zatrudniające co najmniej 50 pracowników;
  • prywatne podmioty prawne dowolnej wielkości prowadzące działalność w obszarze usług finansowych lub podmioty narażone na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu, zgodnie z uregulowaniami zawartymi w aktach Unii, o których mowa w załączniku do Dyrektywy.

Powyższe wyliczenie oznacza, że niezależnie od liczby pracowników zatrudnianych przez przedsiębiorcę oraz wysokości osiągniętego przezeń obrotu Dyrektywa będzie miała zastosowanie do tych przedsiębiorców, którzy prowadzą działalność w zakresie szeroko rozumianych usług finansowych[3] lub są narażeni na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu. Z uwagi na sposób sformułowania tego przepisu należy domniemywać, że przedsiębiorcami narażonymi na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu są w rozumieniu prawodawcy unijnego tak zwane instytucje obowiązane, tj. podmioty wymienione w art. 2 ust. 1 uAML.

Spośród obowiązków określonych w Dyrektywie wspomnieć należy przede wszystkim o:

  • udostępnieniu pracownikom i kontrahentom jasnych i łatwo dostępnych informacji na temat procedur oraz zewnętrznych możliwości zgłaszania naruszeń;
  • stworzeniu w przedsiębiorstwie wewnętrznych, poufnych i bezpiecznych kanałów przyjmowania zgłoszeń od sygnalistów i poinformowanie o nich pracowników oraz partnerów biznesowych;
  • wyznaczenie osób odpowiedzialnych za weryfikację zgłaszanych informacji o możliwych naruszeniach;
  • podejmowanie działań wyjaśniających z zachowaniem należytej staranności;
  • przekazywanie sygnaliście informacji zwrotnych (w ciągu siedmiu dniu o przyjęciu zgłoszenia oraz w ciągu kolejnych trzech miesięcy o podjętych działaniach).

Biorąc pod uwagę taki zakres nowych obowiązków, przedsiębiorcy będą musieli zweryfikować swoje wewnętrzne procedury w zakresie compliance. Szczególnie ci, którzy już teraz posiadają wewnętrzne procedury odnoszące się do zgłaszania naruszeń prawa, powinni przeanalizować, czy zawierają one wszystkie elementy wymagane treścią Dyrektywy, a później implementowanej ustawy. Ci, którzy takich procedur nie posiadają, będą musieli stworzyć kompletną dokumentację uwzględniającą wszystkie elementy narzucone wprowadzanymi przepisami, a następnie odpowiednio wdrożyć zawarte w nich rozwiązania. Konieczne może okazać się także przeprowadzenie odpowiednich szkoleń skierowanych do pracowników w celu poinformowania ich o sposobach oraz dostępnych kanałach zgłaszania nieprawidłowości.

Warto zaznaczyć, że odpowiedzialnością objęte zostaną osoby, które utrudniają lub próbują utrudniać zgłaszanie naruszeń, podejmują działania odwetowe wobec osób zgłaszających, wszczynają uciążliwe postępowania przeciwko osobom zgłaszającym lub dopuszczają się naruszeń obowiązku utrzymania w tajemnicy tożsamości osób zgłaszających. Prawodawca unijny chce w ten sposób wzmocnić bezpieczeństwo sygnalistów, a także stworzyć bezpieczne warunki do zgłaszania naruszeń.

Co istotne, przepisy Dyrektywy uwzględniają także ryzyko dokonywania zgłoszeń w złej wierze. Sytuacja taka mogłaby mieć miejsce, gdyby osoba korzystająca z anonimowości i ochrony przyznanej wewnętrznymi procedurami dokonywała złośliwych, niemających pokrycia w rzeczywistości zgłoszeń w stosunku do innych osób. W świetle Dyrektywy fałszywi sygnaliści muszą się liczyć z ryzykiem poniesienia kar, które jej przepisy określają jako skuteczne, proporcjonalne i odstraszające, z odpowiedzialnością odszkodowawczą włącznie.

Implementacja

Zgodnie z art. 26 ust. 1 Dyrektywy państwa członkowskie mają obowiązek implementacji jej przepisów do krajowych porządków prawnych w ciągu 2 lat od wejścia w życie Dyrektywy, natomiast stosowanie przepisów wobec przedsiębiorstw zatrudniających od 50 do 249 pracowników ma nastąpić w ciągu lat 4. Co istotne, nie jest wykluczone, iż ustawodawca krajowy rozszerzy obowiązki związane z ochroną osób zgłaszających naruszenia. Taką możliwość daje art. 25 Dyrektywy, przesądzający jednocześnie o tym, że jej przepisy określają minimum w zakresie zasad ochrony sygnalistów, które należy wprowadzić do przepisów krajowych (tzw. dyrektywa minimalnej harmonizacji). Z uwagi na przyznanie krajowym ustawodawcom wspomnianej swobody warto śledzić proces uchwalania polskiej ustawy implementującej Dyrektywę, monitorować sposób wdrożenia poszczególnych jej przepisów, a także podejmować wcześniejsze działania nakierowane na przegląd wewnętrznych zasad i dokumentacji oraz na ich dostosowanie do aktualnych wymogów w tym zakresie.

[1] W tym kontekście warto zwrócić uwagę na próbę wprowadzenia instytucji sygnalisty do polskiego porządku prawnego podjętą w ramach projektu ustawy o jawności życia publicznego. Na jego gruncie status sygnalisty miał być przyznawany osobie informującej organy ścigania o poszczególnych, wymienionych enumeratywnie czynach zabronionych. Projektodawca chciał, aby status ten był nadawany przez prokuratora, zaś informacja o jego nadaniu, wraz z personaliami osoby zgłaszającej, miała być udostępniana jej pracodawcy (zleceniodawcy) z zastrzeżeniem rocznego zakazu zwalniania tej osoby oraz stosowania wobec niej innych środków represji. Ostatecznie projektowanych przepisów nie uchwalono.

[2] „Prezes podkreślił, że niezbędne jest zapewnienie ochrony danych osobowych sygnalistów, którą umożliwia stosowanie zarówno przepisów k.p.a., dotyczących procedury rozpatrywania skarg i wniosków, jak również RODO. W ocenie organu dane osobowe osób wnoszących taką skargę (sygnalistów) nie podlegają ujawnieniu w toku ww. postępowania. Co więcej, nie mają żadnego znaczenia dla takiego postępowania, którego celem jest zweryfikowanie i wyeliminowanie sygnalizowanych nieprawidłowości. Nawet jeżeli na skutek tych skarg zostaną wszczęte odrębne postępowania, przewidziane przepisami szczególnymi” (Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za rok 2018).

[3] Zgodnie z załącznikiem do Dyrektywy mowa tu przede wszystkim o usługach w zakresie bankowości, kredytów, ubezpieczeń i reasekuracji, emerytur zakładowych lub indywidualnych, papierów wartościowych, funduszy inwestycyjnych, płatności i doradztwa inwestycyjnego.

24 wrz 2019

Konsultacje dotyczące propozycji wytycznych EIOPA w zakresie outsourcingu z wykorzystaniem chmury obliczeniowej w ramach działalności ubezpieczeniowej

Nowy projekt wytycznych Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (European Insurance and Occupational Pensions Authority – EIOPA) dotyczący korzystania przez zakłady ubezpieczeń i zakłady reasekuracji z usług przetwarzania danych w chmurze obliczeniowej znacząco rozszerza wymogi regulacyjne w tym zakresie, zaostrzając je do poziomu zbliżonego do obowiązującego w sektorze bankowym. Wytyczne są obecnie na etapie konsultacji publicznych. Uwagi można zgłaszać do EIOPA do 30 września 2019 r.

Wprowadzenie

W ostatnich latach nastąpił znaczący wzrost popularności usług związanych z przetwarzaniem danych osobowych przy użyciu chmury obliczeniowej. Wykorzystuje się przy tym różne modele świadczenia tego rodzaju usług, w szczególności infrastruktura jako usługa (IaaS, od ang. Infrastructure as a Service), platforma jako usługa (PaaS – Platform as a Service) czy oprogramowanie jako usługa (SaaS – Software as a Service),  jak również różne modele chmury obliczeniowej, a mianowicie:

  1. chmurę publiczną (z założenia ogólnodostępną dla różnych użytkowników);
  2. chmurę prywatną (dostępną jedynie dla podmiotu, który ją wdrożył wewnętrznie);
  3. chmurę hybrydową (łączącą cechy chmury publicznej oraz prywatnej, umożliwiającą m.in. przekazanie tylko wybranych zasobów do chmury publicznej).

Z uwagi na niskie koszty (sprzęt, oprogramowanie i całość usług związanych z chmurą obliczeniową dostarcza z reguły jeden podmiot) największą popularnością cieszą się rozwiązania bazujące na chmurze publicznej. Wiodące podmioty z branży informatycznej obecnie nie tylko widzą duży potencjał w dalszym rozbudowywaniu usług chmurowych, ale już teraz osiągają ogromne przychody dzięki dostarczaniu tego typu usług. Przykładowo Microsoft, podając niedawno wyniki kwartalne, po raz pierwszy wskazał, że usługi świadczone w chmurze obliczeniowej wygenerowały przychód większy niż ten wytworzony przez tradycyjne działy przedsiębiorstwa[1].

Dynamiczny rozwój usług chmurowych niesie ze sobą nowe wyzwania ze względu na konieczność realizacji określonych wymogów prawnych, zwłaszcza w kontekście przetwarzania danych osobowych oraz przetwarzania informacji stanowiących tajemnice prawnie chronione. Wyzwania te są szczególnie widoczne z perspektywy podmiotów prowadzących działalność regulowaną (np. bankową lub ubezpieczeniową), w której zastosowanie mają nader restrykcyjne przepisy dotyczące outsourcingu.

W ostatnim okresie różne organy Unii Europejskiej wydają kolejne dokumenty dotyczące outsourcingu, w tym outsourcingu z wykorzystaniem usług świadczonych w chmurze obliczeniowej. W dniu 25 lutego 2019 r. Europejski Urząd Nadzoru Bankowego (European Banking Authority – EBA) opublikował wytyczne w sprawie outsourcingu (znak: EBA/GL/2019/02, dalej: „Wytyczne EBA”)[2], które wejdą w życie 30 września 2019 r. i zastąpią zarówno wytyczne Komitetu Europejskich Organów Nadzoru Bankowego (CEBS) z dnia 14 grudnia 2006 r. dotyczące zlecania zadań dostawcom usług, jak i zalecenia EBA dotyczące outsourcingu w chmurze. Wytyczne EBA odnoszą się także do outsourcingu w przypadku korzystania z usług chmurowych. W wydanym 16 września 2019 r. stanowisku Urząd Komisji Nadzoru Finansowego (UKNF) przesunął moment rozpoczęcia ich stosowania w Polsce na 30 czerwca 2020 r.[3] Z kolei EIOPA w dniu 1 lipca 2019 r. opublikowała materiał konsultacyjny dotyczący jej własnych wytycznych w zakresie outsourcingu, który ogranicza się wyłącznie do outsourcingu z wykorzystaniem usług chmurowych (dalej: „Projekt (EIOPA)” lub „Wytyczne (EIOPA)”)[4]. Uwagi do tego materiału można zgłaszać do 30 września 2019 r.[5] Wytyczne EIOPA mają być stosowane od 1 lipca 2020 r. do wszystkich umów outsourcingu w chmurze zawartych lub zmienionych od tego dnia, natomiast umowy już obowiązujące powinny zostać odpowiednio zmodyfikowane do 1 lipca 2022 r.

Pewnym zaskoczeniem może być fakt, że – odmiennie niż w przypadku Wytycznych EBA – Wytyczne EIOPA odnoszą się wyłącznie do outsourcingu, który powiązany jest ze świadczeniem usług w chmurze obliczeniowej. Tym samym nie mają one charakteru kompleksowego, co z jednej strony nie wydaje się dobrym rozwiązaniem, gdyż różnice w implementacji w poszczególnych państwach członkowskich przepisów dotyczących outsourcingu z dyrektywy Solvency II[6] są znaczne. Z drugiej strony takie podejście pozwala jednak obniżyć koszty i nakłady, jakie muszą ponieść zakłady ubezpieczeń i zakłady reasekuracji w celu dostosowania się do nowych wymogów i z tego powodu może być postrzegane pozytywnie. Wydaje się jednak, że ze względu na długi okres na dostosowanie się przez zakłady ubezpieczeń i zakłady reasekuracji do Wytycznych EIOPA (a postuluje się jego dalsze wydłużenie) powinny one objąć swoim zakresem całość zagadnień dotyczących outsourcingu w działalności ubezpieczeniowej.

Bezpośrednimi adresatami Wytycznych są zakłady ubezpieczeń oraz zakłady reasekuracji. Pośrednicy ubezpieczeniowi (agenci, brokerzy ubezpieczeniowi) wprawdzie do tego kręgu nie należą[7], lecz można się spodziewać, że zakłady ubezpieczeń oraz zakłady reasekuracji mogą kontraktowo zobowiązywać pośredników do odpowiedniego stosowania Wytycznych w takim zakresie, w jakim ci ostatni, wykonując czynności na rzecz zakładu ubezpieczeń lub reasekuracji, korzystają z rozwiązań chmurowych.

Poniżej skrótowo omówione zostaną wybrane zagadnienia zaprezentowane w opublikowanym przez EIOPA Projekcie, które powinny – zdaniem autorów – budzić szczególne zainteresowanie rynku i być przedmiotem dalszego namysłu unijnego urzędu.

Outsourcing oraz outsourcing istotny w Projekcie EIOPA

Opracowując Projekt, EIOPA przyjęła założenie, że Wytyczne będą miały zastosowanie do korzystania przez zakład ubezpieczeń lub zakład reasekuracji z usług przetwarzania danych w chmurze obliczeniowej tylko wtedy, gdy w ramach tych usług dochodzi jednocześnie do outsourcingu w rozumieniu art. 13 pkt 28 dyrektywy Solvency II (implementowanego w art. 3 ust. 1 pkt 27 u.d.u.r.[8]). W przepisie tym zdefiniowano outsourcing jako dowolnego rodzaju umowę zawartą pomiędzy zakładem ubezpieczeń lub zakładem reasekuracji a dostawcą usługi, na podstawie której dostawca –bezpośrednio lub w drodze suboutsourcingu – wykonuje proces, usługę lub działanie, które w innym przypadku zostałyby wykonane przez sam zakład ubezpieczeń lub zakład reasekuracji[9]. W wytycznej 1 Projektu wskazano ponadto, że dla kwalifikacji czynności jako outsourcingu regulowanego zakład ubezpieczeń lub zakład reasekuracji powinien wziąć pod uwagę:

  1. czy funkcja lub jej część będąca przedmiotem powierzenia innemu dostawcy jest wykonywana w sposób powtarzalny lub ciągły
    oraz
  2. czy funkcja lub jej część będąca przedmiotem powierzenia byłaby w normalnych okolicznościach wykonywana przez zakład ubezpieczeń lub zakład reasekuracji w toku działalności biznesowej, nawet jeśli nie była wykonywana dotychczas.

Powyższe założenie EIOPA należy ocenić zasadniczo pozytywnie. Alternatywą byłoby objęcie zakresem Wytycznych każdego przypadku korzystania przez zakład ubezpieczeń lub zakład reasekuracji z usług przetwarzania danych w chmurze, co wydawałoby się nadmiarowe i nieadekwatne z punktu widzenia zasady proporcjonalności, zgodnie z którą Wytyczne powinny być stosowane. Wątpliwości budzi natomiast wprowadzenie w Projekcie swego rodzaju domniemania, że korzystanie z usług przetwarzania danych w chmurze obliczeniowej stanowi outsourcing (cytat z wersji oryginalnej: „As a rule, outsourcing should be assumed”). Wydaje się, że taka kwalifikacja prawna powinna być dokonywana według przesłanek obiektywnych, bez konieczności przyjmowania tego rodzaju założeń wstępnych.

Niewątpliwą zaletą Wytycznych EBA jest to, że wprowadzają katalog przykładowych czynności, które – co do zasady – nie stanowią outsourcingu. Należy do nich m.in. korzystanie z usług audytorów zewnętrznych, agencji informacyjnych, izb rozliczeniowych, doradców prawnych lub podmiotów świadczących usługi związane z obsługą administracyjną biura. Wprowadzenie takiego katalogu stanowi cenną wskazówkę interpretacyjną, jak należy wykładać pojęcie outsourcingu objętego zakresem tych wytycznych. EIOPA nie zdecydowała się na wprowadzenie podobnego rozwiązania w ramach Projektu, wobec czego zainteresowane podmioty powinny postulować takie jego uzupełnienie na obecnym etapie konsultacji publicznych, aby niedopuszczalne było wnioskowanie a contrario w oparciu o porównanie Wytycznych EBA z Wytycznymi EIOPA.

W przypadku potwierdzenia, że korzystanie z usług przetwarzania danych w chmurze obliczeniowej stanowi w danym przypadku outsourcing regulowany, zgodnie z Projektem należy dokonać oceny, czy zachodzi outsourcing istotny (ang. material outsourcing), czy też nie. Przez outsourcing istotny należy zawsze rozumieć outsourcing krytycznych lub istotnych funkcji operacyjnych (ang. critical or important operational functions), kwalifikowanych zgodnie z Wytycznymi EIOPA dotyczącymi systemu zarządzania (znak: EIOPA-BoS-14/253 PL, dalej: „Wytyczne EIOPA dot. Systemu Zarządzania”)[10]. Wytyczna 7 Projektu określa dodatkowe kryteria, jakie zakład ubezpieczeń lub zakład reasekuracji powinien wziąć pod uwagę, klasyfikując outsourcing jako istotny. Należą do nich m.in.: wpływ awarii lub przerwy w dostawie usługi chmurowej na usługi świadczone przez zakład, możliwość zapewnienia zgodności z przepisami prawa lub zarządzania ryzykiem, zakres i stopień skomplikowania czynności wykorzystujących usługi przetwarzania danych w chmurze obliczeniowej oraz ich koszt. Co ciekawe, w Projekcie wskazano na potrzebę wzięcia pod uwagę ochrony zarówno danych osobowych, jak i danych nieosobowych[11] wraz z potencjalnym wpływem naruszenia poufności lub braku zapewnienia dostępności i integralności danych na przedsiębiorstwo, ubezpieczających lub inne podmioty. Od tego, czy dany przypadek korzystania z rozwiązań chmurowych zostanie zakwalifikowany jako outsourcing istotny, zależeć będzie, czy będą miały zastosowanie dodatkowe wymogi dotyczące m.in. informowania organów nadzoru o zawarciu umowy (wytyczna 4 Projektu), umowy z dostawcą usługi (wytyczna 10 Projektu) czy strategii wyjścia i zakończenia współpracy (wytyczna 15 Projektu). W toku konsultacji Projektu celowe wydaje się doprecyzowanie części kryteriów lub sposobu ich stosowania.

Czynności niezbędne przed zawarciem umowy z dostawcą usługi przetwarzania danych w chmurze obliczeniowej

Zgodnie z Projektem przed zawarciem umowy z dostawcą usługi przetwarzania danych w chmurze obliczeniowej zakład ubezpieczeń lub zakład reasekuracji zobowiązany będzie do realizacji następujących czynności:

  1. oceny, czy w ramach umowy ma miejsce outsourcing istotny, kwalifikowany według kryteriów określonych w wytycznej 7 Projektu;
  2. zidentyfikowania i oceny wszystkich istotnych ryzyk związanych z zawarciem umowy oraz przeprowadzenia analizy kosztów i korzyści wynikających z zawarcia umowy – zgodnie z wytyczną 8 Projektu. W przypadku outsourcingu istotnego analiza ryzyka powinna zostać przeprowadzona przed zawarciem umowy z dostawcą usługi oraz w każdym przypadku przed przedłużeniem umowy (jeśli zmianie ulega jej treść lub zakres). W tym ostatnim przypadku zasadnym wydaje się postulowanie zmiany Projektu poprzez wskazanie, że ponowna analiza ryzyka powinna mieć miejsce wtedy, gdy zmiana dotyczy istotnych postanowień umowy, mających wpływ na dotychczasową ocenę ryzyka współpracy. Niezależnie od powyższego analiza ryzyka współpracy z dostawcą usługi powinna być przeprowadzona w każdym przypadku, gdy zakład ubezpieczeń lub zakład reasekuracji poweźmie informację o istotnych zmianach lub nieprawidłowościach w ramach usług świadczonych przed dostawcę;
  3. przeprowadzenia badania due diligence dostawcy usługi – zgodnie z wytyczną 9 Projektu. W ramach badania należy dokonać m.in. analizy wiedzy, doświadczenia oraz sytuacji ekonomicznej dostawcy. Dokumentami wspierającymi przeprowadzenie due diligence mogą być posiadane certyfikaty potwierdzające zgodność z powszechnie uznawanymi normami, wyniki audytów wewnętrznych lub zewnętrznych przeprowadzonych u dostawcy. Warto zauważyć, że Projekt nie ogranicza obowiązku przeprowadzenia badania do outsourcingu istotnego. Wydaje się, że takie rozwiązanie może w niektórych przypadkach stanowić dla zakładów ubezpieczeń lub zakładów reasekuracji nieproporcjonalne obciążenie w stosunku do niskiej wagi czynności będących przedmiotem powierzenia dostawcy usługi w ramach outsourcingu;
  4. identyfikacji i oceny konfliktów interesów, jakie outsourcing może powodować – zgodnie z wymogami określonymi w art. 274 ust. 3 lit. b) rozporządzenia delegowanego Komisji (UE) 2015/35[12] (dalej: „Rozporządzenie Delegowane”).

Powyższe obowiązki zakładów ubezpieczeń oraz zakładów reasekuracji dotyczące etapu przedkontraktowego zasadniczo istnieją już na gruncie czy to obowiązujących przepisów prawa, czy Komunikatu KNF z 23 października 2017 r. (dalej: „Komunikat KNF”). Nie oznacza to jednak, że między Projektem a Komunikatem KNF nie występują pewne rozbieżności czy odmienne sformułowania. Słuszne wydaje się zatem postulowanie, aby KNF, w ramach nadzoru w obszarze korzystania z usług przetwarzania danych w chmurze obliczeniowej, po wejściu w życie Wytycznych opierała się w stosunku do zakładów ubezpieczeń i zakładów reasekuracji przede wszystkim na Wytycznych EIOPA, nie zaś prezentowała (inne) podejście krajowe. Konieczność stosowania dwóch regulacji dotyczących tej samej materii, w znacznej mierze zbliżonych jeśli chodzi o wymogi z nich wynikające, wydaje się nieuzasadniona i może w praktyce rodzić niepotrzebne trudności.

Obowiązki notyfikacyjne względem organu nadzoru oraz rejestr umów outsourcingu

Obowiązek zawiadomienia KNF o zamiarze zawarcia umowy outsourcingu funkcji należących do systemu zarządzania oraz podstawowych lub ważnych czynności („outsourcing istotny” według Wytycznych) istnieje już teraz na gruncie art. 75 ust. 2 u.d.u.r. Zgodnie z Wytycznymi EIOPA dot. Systemu Zarządzania zakład ubezpieczeń lub zakład reasekuracji w zawiadomieniu zamieszcza opis zakresu powierzanych czynności, przyczyny outsourcingu i nazwę usługodawcy oraz – jeżeli outsourcing dotyczy kluczowej funkcji – nazwisko osoby odpowiedzialnej za funkcje lub działania objęte outsourcingiem po stronie usługodawcy. Na gruncie Projektu zakres informacji, które należy przekazać do organu nadzoru (KNF), ulega znacznemu rozszerzeniu (zob. wytyczna 4 Projektu). Do dodatkowych elementów zawiadomienia należą m.in.: załączenie projektu umowy z dostawcą usługi, określenie prawa właściwego dla umowy, model świadczenia usługi (IaaS, PaaS lub SaaS), rodzaj dostępności infrastruktury chmurowej (publiczna, prywatna lub społecznościowa), charakter danych przekazywanych do przetwarzania w chmurze obliczeniowej, lokalizacja serwerów czy analiza zastępowalności dostawcy usługi.

W świetle art. 77 u.d.u.r. na zakładach ubezpieczeń i zakładach reasekuracji ciąży obowiązek prowadzenia wewnętrznej ewidencji umów outsourcingu, zawierającej podstawowe dane dostawcy usługi, zakres powierzonych czynności i funkcji oraz okres obowiązywania umowy. Projekt istotnie rozszerza zakres informacji, jakie powinien zawierać rejestr (zob. wytyczna 5 Projektu). Elementem, który nie występuje w rejestrze określonym w Wytycznych EBA, lecz występuje w Projekcie, jest opis zasad monitoringu czynności objętych outsourcingiem przez zakład ubezpieczeń lub zakład reasekuracji wskazujący dedykowane w tym celu osoby wykonujące te zadania i ich kompetencje w tym zakresie (zgodnie z Wytycznymi EBA tego rodzaju opis przekazywany jest na żądanie organu nadzoru). Niektóre punkty w Projekcie EIOPA nie są do końca jasne. Przykładowo: warto by doprecyzować, jakie warunki przesądzają o tym, że dostawca usług w chmurze (lub znaczący podwykonawca) wspiera operacje biznesowe krytyczne czasowo (czy chodzi np. o poziom dostępności, czy o opóźnienia). Należy także rozważyć, czy w rejestrze powinny znajdować się informacje dotyczące szacowanych rocznych kosztów budżetowych, które w odniesieniu do usług chmurowych często trudno określić.

Zgodnie z Projektem rejestr powinien obejmować wszystkie przypadki powierzenia określonych funkcji dostawcy usługi przetwarzania danych w chmurze obliczeniowej niezależnie od zakwalifikowania danego outsourcingu jako istotnego, aczkolwiek w odniesieniu do outsourcingu istotnego rejestr powinien zawierać dodatkowe elementy. Zakłady ubezpieczeń oraz zakłady reasekuracji powinny, w świetle zasady proporcjonalności, określić odpowiedni okres retencji, przez który będą przechowywane w rejestrze informacje dotyczące rozwiązanych lub wygasłych umów outsourcingu.

Wymogi wobec umów outsourcingu z dostawcami

W Projekcie podkreślono, że odpowiednie prawa i obowiązki podmiotu korzystającego z usług i dostawcy usług w chmurze powinny być wyraźnie przydzielone i określone w pisemnej umowie, przy czym wskazano także na minimalny zakres uzgodnień, stanowiący uzupełnienie wymogów określonych w art. 274 Rozporządzenia Delegowanego (wytyczna 10). Wskazano m.in. na konieczność uwzględnienia takich kwestii jak:

  1. jasny opis usług świadczonych w chmurze;
  2. okres obowiązywania umowy, w tym okres wypowiedzenia;
  3. prawo i sąd właściwe dla danej umowy;
  4. zobowiązania finansowe stron, w tym model wyceny usług świadczonych w chmurze;
  5. warunki podwykonawstwa (o ile zostało ono dopuszczone);
  6. lokalizacja przetwarzania danych (z uwzględnieniem krajów i lokalizacji centrów przetwarzania danych) oraz warunków zmiany tych lokalizacji;
  7. warunki dotyczące dostępności, integralności, poufności, prywatności i bezpieczeństwa odpowiednich danych;
  8. prawo do bieżącego monitorowania wydajności dostawcy usług przez podmiot korzystający z tych usług;
  9. uzgodnione poziomy obejmujące ilościowe i jakościowe cele w zakresie wydajności, które są bezpośrednio mierzalne przez podmiot korzystający z usług w celu niezależnego monitorowania otrzymanych usług;
  10. obowiązki sprawozdawcze dostawcy usług w chmurze (z uwzględnieniem zobowiązań do przedstawienia sprawozdań mających znaczenie dla funkcji audytu wewnętrznego podmiotu korzystającego z usług chmurowych);
  11. ewentualne objęcie obowiązkowym ubezpieczeniem od niektórych rodzajów ryzyk wraz z żądanym poziomem ochrony ubezpieczeniowej;
  12. wymagania dotyczące wdrażania i testowania biznesowych planów awaryjnych.

W Projekcie określono, że niezależnie od istotności outsourcingu umowa outsourcingu powinna obejmować wszystkie wymogi określone w art. 38 dyrektywy Solvency II. W szczególności podmiot korzystający z usług świadczonych w chmurze powinien dopilnować, aby umowa outsourcingowa lub jakiekolwiek inne ustalenia umowne nie utrudniały ani nie ograniczały jego organu nadzorczego w pełnieniu funkcji i celów nadzorczych oraz skutecznego nadzoru nad funkcjami i działaniami zlecanymi na zewnątrz.

Warto także zwrócić uwagę na zaakcentowanie zagadnień związanych z rozwiązaniem umowy i strategiami wyjścia (ang. exit plan), które powinny zapobiegać uzależnieniu od konkretnego dostawcy usług chmurowych. W Projekcie wyraźnie wskazano, iż w ramach umowy outsourcingu w chmurze (przynajmniej w przypadku istotnego outsourcingu) podmiot korzystający z tego typu usług powinien mieć jasno określoną klauzulę dotyczącą strategii wyjścia, zapewniającą, że w razie potrzeby będzie w stanie rozwiązać umowę. Wypowiedzenie powinno być przy tym możliwe bez uszczerbku dla ciągłości i jakości świadczenia usług na rzecz ubezpieczających (wytyczna 15).

W ramach prawa do rozwiązania umowy i strategii wyjścia wskazano nadto na potrzebę zidentyfikowania alternatywnych rozwiązań z uwzględnieniem planów przejścia (aby umożliwić także przeniesienie usług i danych do innego dostawcy usług w chmurze lub z powrotem do podmiotu korzystającego z tych usług). W tym zakresie podkreślono także kwestię konieczności trwałego usunięcia danych po zakończeniu świadczenia usług w chmurze (tj. po ich zwróceniu bezpośrednio do podmiotu korzystającego z tych usług lub przekazaniu do innego dostawcy usług).

Prawo kontroli i audytu dostawcy usług chmurowych

W Projekcie przewidziano, że umowa outsourcingowa nie powinna ograniczać przysługującego podmiotowi korzystającemu z usług prawa dostępu i audytu dostawcy oraz możliwości kontroli usług w chmurze w celu wypełnienia obowiązków regulacyjnych. Jednocześnie podkreślono potrzebę zapewnienia przekazywania korzystającemu z usług informacji potrzebnych do odpowiedniego zarządzania i monitorowania ryzyka związanego z outsourcingiem chmurowym (wytyczna 11).

Wskazano, że zakres wspomnianych audytów powinien obejmować m.in. ocenę usługodawcy oraz, w stosownych przypadkach, jego podwykonawców, proces zarządzania incydentami (w szczególności w przypadku naruszeń danych, zakłóceń w świadczeniu usług lub innych istotnych problemów), jak również ocenę przestrzegania wytycznych dotyczących outsourcingu w chmurze. Można zauważyć, że podobne prawo przewidziane jest niezależnie (w zakresie dotyczącym przetwarzania danych osobowych) w art. 28 ust. 3 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). Przy określaniu częstotliwości audytów wskazano na potrzebę wzięcia pod uwagę charakteru i zakresu ryzyka oraz wpływu na podmiot korzystający z usług outsourcingu w chmurze obliczeniowej. Niemniej jednak warto zauważyć, że w Projekcie dostrzeżono istotny dla wszystkich dużych dostawców usług informatycznych (nie tylko chmurowych) problem dotyczący potencjalnego obciążenia organizacyjnego powstającego w związku z ich audytowaniem. Niewątpliwie w przypadku świadczenia usług na dużą skalę (np. dla różnych zakładów ubezpieczeń) dostawca usług chmurowych mógłby być istotnie obciążony ze względu na konieczność poddawania się cyklicznym audytom prowadzonym przez różnych jego klientów. Stąd też w Projekcie (w celu bardziej efektywnego wykorzystania zasobów audytu oraz zmniejszenia obciążenia organizacyjnego spoczywającego na dostawcy usług chmurowych i jego klientach) dopuszczono możliwość:

  1. korzystania przy realizacji prawa do audytu z certyfikatów oraz raportów stron trzecich lub raportów wewnętrznych udostępnionych przez dostawcę usług chmurowych;
  2. audytów zbiorczych (np. przeprowadzanych wspólnie z innymi klientami tego samego dostawcy usług chmurowych) lub przeprowadzanych przez innych klientów lub przez wskazany przez nich podmiot.

Takie rozwiązanie wydaje się racjonalne, jakkolwiek warto mieć na uwadze, że w Projekcie umieszczono liczne zastrzeżenia w odniesieniu do realizacji prawa do audytu poprzez certyfikaty oraz raporty stron trzecich lub raporty wewnętrzne udostępnione przez dostawcę usług chmurowych. Wskazano m.in., że w przypadku szczególnych potrzeb umownie powinno być zachowane prawo do przeprowadzania indywidualnych kontroli na miejscu według własnego uznania w zakresie dotyczącym istotnego outsourcingu. Kwestie te opisano zasadniczo podobnie w Wytycznych EBA, jednakże EBA bardziej restrykcyjnie podchodzi do zagadnień związanych z outsourcingiem krytycznych lub istotnych funkcji. W tym zakresie celowe byłoby zachowanie większej spójności w Projekcie EIOPA.

Wydaje się ponadto, że Wytyczne powinny zawierać bardziej precyzyjnie odniesienie do dopuszczalności częściowego wyłączenia prawa do bezpośredniej realizacji uprawnień audytowych przez podmiot korzystający z usług świadczonych w chmurze obliczeniowej. Mając na uwadze skalę działalności dostawców usług chmurowych, zasadne wydaje się rozważenie przyjęcia jako standardu możliwości korzystania z audytu, certyfikatów oraz raportów stron trzecich, a ewentualne bezpośrednie realizowanie uprawnień audytowych ograniczyć do sytuacji, w których dostarczone certyfikaty lub raporty stron trzecich okazałyby się niewystarczające.

Suboutsourcing

W Projekcie zaakcentowano także potrzebę umownego określenia, czy podoutsourcing jest dozwolony, czy też wykluczony. W szczególności wskazano, że dla spełnienia wymogów wynikających z art. 274 ust. 4 lit. k) i lit. l) Rozporządzenia Delegowanego, umowa w sprawie outsourcingu w chmurze powinna określać, w stosownych przypadkach, czy podwykonawstwo krytycznych lub ważnych funkcji dotyczących działalności podmiotu korzystającego z usług chmurowych lub znacznych ich części są dozwolone lub wyraźnie wykluczone.

Zaznaczono, że podmiot korzystający z usług w chmurze powinien zgodzić się na podoutsourcing, wyłącznie jeśli podwykonawca będzie w pełni realizował obowiązki nałożone w pierwszej kolejności na dostawcę usług chmurowych. Obowiązki te obejmują przede wszystkim prawa do audytu i dostępu oraz odpowiednie zabezpieczenie danych i systemów. Ponadto umowa dotycząca outsourcingu w chmurze powinna określać, jakiego rodzaju czynności są wykluczone z potencjalnego podwykonawstwa, jak również wskazywać, że dostawca ponosi pełną odpowiedzialność za usługi, które zlecił podwykonawcom. Dodatkowe wymogi odnoszą się także do informowania o podwykonawcach oraz zagwarantowania prawa sprzeciwu w sytuacji, w której zmiany miałyby niekorzystny wpływ na ocenę ryzyka uzgodnionych usług (wytyczna 13).

Wytyczne mają istotne znaczenie w kontekście aktualnie rozpowszechnionej wykładni przepisów u.d.u.r., które nie regulują wprost kwestii suboutsourcingu. Niekiedy – zdaniem autorów niesłusznie – przyjmuje się bowiem, że w przepisach tych wyłączono możliwość dalszego outsourcingu („podoutsourcingu”): „Należy wyłączyć możliwość dokonania przez dostawcę usług dalszego powierzenia wykonywania czynności lub funkcji zakładu (które to czynności lub funkcje dostawca ten wykonuje na mocy postanowień umowy outsourcingu) innemu podmiotowi. W świetle postanowień z art. 73 u.d.u.r. takiego powierzenia może dokonać wyłącznie zakład. Wyłączyć należy zatem w ogólności możliwość dokonywania dalszego outsourcingu (outsourcingu wtórnego) przez dostawcę usług outsourcingowych (podzlecenia czynności outsourcingowych). Takie hipotetyczne podzlecenie byłoby bowiem w opozycji do postanowień z art. 74 i 75 u.d.u.r.”[13]. Takie rozwiązanie byłoby bardziej restrykcyjne niż to przyjęte w przypadku działalności bankowej (gdzie podoutsourcing jest dopuszczalny). Warto jednak mieć na uwadze, że w doktrynie prezentowane są także słuszne stanowiska odmienne w zakresie wykładni pojęcia outsourcingu wskazanego w art. 3 ust. 1 pkt 27 u.d.u.r: „Przedstawiona definicja dopuszcza również możliwość tzw. suboutsourcingu, czyli dalszego zlecenia innym podmiotom usług outsourcingowych przez podmiot, który przyjął takie pierwotne zlecenie od zakładu ubezpieczeń lub zakładu reasekuracji”[14]. Co ciekawe, możliwości suboutsourcingu w ogóle nie wykluczają przepisy dyrektywy Solvency II, gdzie wprost stwierdzono, że outsourcing może być realizowany w drodze suboutsourcingu (zob. art. 13 pkt 28 dyrektywy Solvency II). Możliwość suboutsourcingu przewidziano także w Rozporządzeniu Delegowanym, dlatego też definicja znajdująca się w art. 3 ust. 1 pkt 27 u.d.u.r., która całkowicie przemilcza tę kwestię, budzi wątpliwości.

Wydaje się, że w Wytycznych EIOPA powinno jednak znaleźć się odniesienie do ewentualnej dopuszczalności kolejnych poziomów suboutsourcingu (tzw. suboutsourcing łańcuchowy) nawiązujące do dyrektywy Solvency II i Rozporządzenia Delegowanego. Pozytywnie należy natomiast odnieść się do wytycznych dopuszczających wprost podoutsourcing w ramach usług chmurowych. Całkowite wykluczenie podoutsourcingu w praktyce uniemożliwiłoby korzystanie w większości przypadków z tego typu usług, które z racji swojego charakteru opierają się zazwyczaj na większej liczbie podwykonawców.

Mając na uwadze treść Wytycznych, warto na gruncie przepisów u.d.u.r. rozważyć także możliwość szerszego przyjęcia dopuszczalności podoutsourcingu w ramach działalności ubezpieczeniowej w związku z podzlecaniem różnego rodzaju usług – nie tylko tych związanych z przetwarzaniem danych przy użyciu chmury obliczeniowej.

[1] Zob. https://businessinsider.com.pl/gielda/wiadomosci/microsoft-wyniki-finansowe-za-iv-kw-2019-roku/x9gc5b7.

[2] Tekst Wytycznych EBA dostępny jest pod adresem https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_PL.pdf.

[3] Zob. https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf.

[4] Tekst projektu wytycznych jest dostępny pod adresem https://eiopa.europa.eu/Publications/Consultations/2019-07-01%20ConsultationDraftGuidelinesOutsourcingCloudServiceProviders.pdf.

[5] Formularz do zgłaszania uwag dostępny jest pod adresem https://ec.europa.eu/eusurvey/runner/Consultation_Cloud_GL_2019.

[6] Dyrektywa Parlamentu Europejskiego i Rady 2009/138/WE z dnia 25 listopada 2009 r. w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. Urz. UE L 335 z 17.12.2009, s. 1).

[7] W doktrynie wskazuje się, że umowy agencyjne co do zasady nie powinny być kwalifikowane jako umowy outsourcingowe: „Za słuszne należy uznać stanowisko, zgodnie z którym umowy agencyjnie nie są objęte przepisami dotyczącymi outsourcingu. Takie stanowisko uzasadnia fakt, że katalog czynności, których powierzenie innemu podmiotowi powinno odbywać się w drodze outsourcingu, nie obejmuje czynności związanych z zawieraniem umów ubezpieczenia. Jednakże w przypadku gdyby w ramach umowy agencyjnej powierzono agentowi wykonywanie jakichkolwiek czynności, które są uwzględnione w omawianym katalogu, wówczas bez wątpienia znajdą zastosowanie przepisy dotyczące outsourcingu” (P. Czublun (red.), Ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Komentarz, Warszawa, 2016).

[8] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (tekst jedn.: Dz. U. z 2019 r., poz. 381).

[9] W Polsce szczegółowe zasady dotyczące outsourcingu ubezpieczeniowego uregulowano w art. 73–77 u.d.u.r.

[10] Zob. https://eiopa.europa.eu/GuidelinesSII/EIOPA_Guidelines_on_System_of_Governance_PL.pdf.

[11] Kwestie dotyczące danych innych niż osobowe regulują obecnie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Dz. Urz. UE L 303 z 28.11.2018, s. 59). Niezależnie od przepisów tego rozporządzenia warto mieć także na uwadze, że w przypadku działalności ubezpieczeniowej niektóre dane (np. dotyczące poszczególnych umów ubezpieczenia osób prawnych), mimo braku charakteru danych osobowych, mogą stanowić tajemnicę ubezpieczeniową w rozumieniu 35 ust. 1 u.d.u.r.

[12] Rozporządzenie delegowane Komisji (UE) 2015/35 z dnia 10 października 2014 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2009/138/WE w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. Urz. UE L 12 z 17.01.2015, s. 1).

[13] P. Wajda, Art. 73, [w:] Ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Komentarz, Wolters Kluwer, 2017.

[14] P. Czublun (red.), dz. cyt.