Marcin Pietkiewicz

Regulowany outsourcing w instytucjach finansowych

Regulacje dotyczące outsourcingu w instytucjach finansowych pełnią szczególną funkcję ze względu na status tych instytucji w gospodarkach państw rozwiniętych oraz ich wpływ na funkcjonowanie w życiu gospodarczym podmiotów, które powierzyły im swe aktywa na przechowanie lub w zarząd.

Z tych względów o instytucjach finansowych mówi się często jako o instytucjach zaufania publicznego. Co za tym idzie, przekazanie przez nie do wykonywania określonych czynności związanych z działalnością regulowaną podmiotom trzecim (outsourcing) powinno wiązać się ze szczególną ostrożnością, tak aby nie został naruszony interes samej instytucji, ale przede wszystkim interes jej klientów.

Interes klientów instytucji finansowych nie zawsze sprowadzać się będzie wyłącznie do wymiaru czysto finansowego. Może się on wiązać m.in. z naruszeniem dóbr osobistych. Instytucja finansowa powinna z jednej strony mieć na uwadze utrzymanie lub też zwiększenie wartości powierzonych jej aktywów i w tym kontekście powinna stosować środki zapobiegające narażeniu się na ich utratę w związku ze sprzeczną z prawem działalnością osób zatrudnionych w instytucji finansowej oraz osób trzecich. Drugim wymiarem dbałości o interesy klienta jest troska o dane klienta i informacje dotyczące umowy zawartej z instytucją. W przypadku outsourcingu czynności, które mają bezpośredni związek z wykonywaniem usługi finansowej, te dwa aspekty wiążą się ze sobą nierozerwalnie, często decydując o tym, czy dana usługa podlegać będzie szczególnym rygorom outsourcingu w instytucjach finansowych.

Przepisy dotyczące outsourcingu regulowanego wprowadzane są stopniowo w kolejnych rodzajach instytucji finansowych, począwszy od banków (art. 6a-6d ustawy Prawo bankowe z dnia 29 sierpnia 1997 r.), przez domy maklerskie (art. 81a-81g ustawy o obrocie instrumentami finansowymi z dnia 29 lipca 2005 r), a kończąc na towarzystwach funduszy inwestycyjnych (TFI) (art. 45a ustawy o funduszach inwestycyjnych z 27 maja 2004 r.). Na osobną regulację w tym zakresie czekają jeszcze zakłady ubezpieczeń.

Rodzaje powierzanych czynności podlegających regulacjom

Przepisy dotyczące działalności poszczególnych instytucji finansowych nie wskazują w sposób jednakowy czynności, które podlegają regulowanemu outsourcingowi. Nie wszystkie czynności związane z działalnością instytucji finansowych powierzane do wykonania na zewnątrz podlegają rygorom outsourcingu regulowanego.

Podstawową zasadą jest to, że powierzenie wykonywania czynności regulowanych (czynności bankowych, działalności maklerskiej lub czynności TFI) osobom trzecim nie może spowodować braku faktycznego ich wykonywania przez instytucję finansową (czyli outsourcing nie może doprowadzić do sytuacji, gdy instytucja działa wyłącznie jako „skrzynka pocztowa”). Zakazane jest również powierzanie funkcji zarządu spółki, czyli reprezentowania i prowadzenia jej spraw.

Najbardziej rozbudowane w tym zakresie są przepisy prawa bankowego, wyróżniające dwie grupy czynności, do których znajdują zastosowanie szczególne wymogi regulowanego outsourcingu. W pierwszej grupie wymienione zostały czynności dotyczące pośrednictwa w zakresie czynności bankowych (art. 6a ust. 1 pkt 1), które w dużym stopniu muszą być wykonywane w oparciu o umowę agencyjną (np. zawieranie umów rachunków bankowych, umów kredytów i pożyczek pieniężnych udzielanych osobom fizycznym). Katalog ten nie jest zamknięty, jednak wykonywanie innych czynności pośrednictwa niż wprost wymienione może się odbywać wyłącznie za zezwoleniem Komisji Nadzoru Finansowego (KNF). Do drugiej kategorii czynności związanych z wykonywaniem działalności bankowej, które mogą być zlecone osobom trzecim, należą tzw. czynności faktyczne związane z działalnością bankową (art. 6a ust. 1 pkt 2). Są to czynności bezpośrednio związane z działalnością bankową, dla których wykonania konieczny jest najczęściej dostęp do informacji wrażliwych z punktu widzenia prowadzonej działalności bankowej (np. do wiadomości na temat klientów banków, w tym objętych tajemnicą bankową), albo czynności mające na celu zapewnienie ciągłego i niezakłóconego działania banku i wykonywania czynności bankowych, np. działania systemów informatycznych służących bezpośrednio do wykonywania działalności bankowej.

W odróżnieniu od przepisów prawa bankowego, regulacje dotyczące domów maklerskich oraz TFI nie określają wprost rodzajów czynności, których powierzenie podlega szczególnym wymogom regulacyjnym, wskazują natomiast, które czynności tym wymogom nie podlegają. Są to umowy, których przedmiotem są czynności niemające istotnego znaczenia dla prawidłowego wykonywania obowiązków określonych przepisami prawa, sytuacji finansowej, ciągłości lub stabilności prowadzenia działalności, jak np. usługi doradztwa prawnego, prowadzenia ksiąg rachunkowych lub ochrony mienia.

Umowy

Wymogi stawiane przez przepisy instytucjom finansowym powierzającym zewnętrznym wykonawcom czynności związane z ich działalnością regulowaną mają bardzo duży wpływ na treść umów, w oparciu o które wykonywane są powierzone czynności (umowy outsourcingowe). Właściwe ukształtowanie praw i obowiązków stron umowy zapewni formalną zgodność z wymogami ustawowymi oraz, co ważniejsze, zapewni podmiotowi regulowanemu możliwość rzeczywistego sprawowania nadzoru nad wykonywaniem usługi przez przedsiębiorcę.

Wśród najważniejszych zapisów, które powinny znaleźć się w umowach outsourcingowych zawieranych przez instytucje finansowe, są postanowienia, które dadzą instytucji finansowej prawo do żądania informacji o sytuacji finansowej usługobiorcy oraz zapewnią jej dostęp do informacji i dokumentacji związanej w wykonywaniem powierzonych czynności. To ostatnie jest szczególnie istotne zwłaszcza w kontekście kontroli KNF, na potrzeby której instytucja finansowa powinna udostępnić wszelkie informacje związane z wykonywaniem umowy outsourcingowej, w tym, gdy wymaga tego specyfika powierzonych czynności, zapewnić przedstawicielom KNF bezpośredni dostęp do dokumentacji i informacji znajdujących się u przedsiębiorcy wykonującego powierzone czynności.

Ze względu na możliwość sprawowania efektywnego nadzoru nad wykonawcą usług oraz właściwe zarządzanie ryzykiem związanym z powierzonymi czynnościami umowa outsourcingowa powinna precyzyjnie określać metody oceny sposobu wykonywania czynności oraz środki, jakie może podjąć instytucja finansowa w celu doprowadzenia do właściwego wykonywania umowy. Instytucja finansowa powinna ponadto zapewnić sobie możliwość natychmiastowego rozwiązania umowy w przypadku, gdy przedsiębiorca w istotny sposób narusza warunki umowy lub wykonuje ją z naruszeniem przepisów prawa.

Osobną kwestią, która znacząco wpływa na relacje stron umowy outsourcingowej, jest zakres odpowiedzialności wykonawcy powierzonych czynności wobec instytucji finansowej. Przepisy dotyczące outsourcingu w bankach i domach maklerskich regulują tę kwestię w sposób jednolity i dość restrykcyjny. Zabroniono bowiem ograniczania i wyłączania odpowiedzialności dostawcy usługi wobec banku albo domu maklerskiego za szkody wyrządzone klientom tych instytucji wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej przez dostawcę usługi. Z drugiej strony zakazano samym bankom i domom maklerskim ograniczania odpowiedzialności wobec ich klientów za szkody, które zostały spowodowane niewykonaniem umowy outsourcingowej przez dostawcę usług.

Dostęp do informacji szczególnie chronionych

Jak zostało wskazane na wstępie, jednym z najistotniejszych aspektów powierzenia podmiotowi zewnętrznemu czynności związanych z regulowaną działalnością instytucji finansowych jest dostęp do informacji prawnie chronionych jako tajemnica bankowa lub tajemnica zawodowa. W tym miejscu ścierają się dwa przeciwstawne interesy, gdyż z jednej strony zapewnienie dostępu przedsiębiorcy do danych objętych tajemnicą jest często warunkiem koniecznym do prawidłowego wykonania usługi, a z drugiej strony w interesie osób, których dane te dotyczą, jest ograniczenie kręgu osób mających dostęp do tych danych i chronienie ich na takich zasadach, jak to ma miejsce w instytucji finansowej.

Powierzenie wykonywania podmiotowi trzeciemu określonych czynności związanych z działalnością banku, domu maklerskiego lub TFI jest jedną z okoliczności, która legitymizuje przekazanie przez te instytucje danych swoich klientów wykonawcy usługi. Możliwość przekazania tych informacji stanowi wyjątek od ogólnej zasady zachowania poufności informacji o kliencie, wobec czego mogą one być przekazywane wyłącznie, gdy jest to niezbędne do prawidłowego wykonania umowy outsourcingowej, a zakres ich przekazania uzasadniony jest rodzajem wykonywanych czynności. Ponadto umowa outsourcingowa powinna jak najszerszej i jak najprecyzyjniej regulować sposób postępowania przedsiębiorcy wykonującego powierzone czynności oraz jego pracowników z informacjami wrażliwymi. Powierzenie przez instytucję finansową czynności związanych z jej działalnością regulowaną osobie trzeciej nie może bowiem wpłynąć negatywnie na ochronę informacji prawnie chronionych.

Outsourcing zagranicznych instytucji finansowych

Powierzanie wykonania polskim przedsiębiorcom czynności związanych z działalnością regulowaną przez zagraniczne instytucje finansowe nie jest objęte polskimi przepisami dotyczącymi outsourcingu w bankach, domach maklerskich czy TFI. Oznacza to, że o możliwości i warunkach zlecenia wykonywania określonych czynności na zewnątrz decydują przepisy macierzyste zagranicznej instytucji finansowej.

Trzeba jednak zwrócić uwagę, że polski przedsiębiorca wykonujący określone czynności na rzecz instytucji zagranicznych będzie mógł wykonywać wyłącznie czynności, które nie mają charakteru czynności regulowanych w Polsce (np. czynności bankowych lub działalności maklerskiej) lub czynności, dla których wykonywania konieczne jest spełnienie dodatkowych warunków (np. działalność agenta firmy inwestycyjnej). W przeciwnym wypadku polski przedsiębiorca musiałby uzyskać odpowiednie zezwolenie lub spełnić warunki dla wykonywania danej działalności.

Jeśli chodzi o aspekty prawne, to outsourcing dokonywany przez instytucje finansowe w zakresie ich działalności regulowanej jest tematem bardzo złożonym, dotyczącym pośrednio lub bezpośrednio większości obszarów funkcjonowania danej instytucji, począwszy od jej działań wewnętrznych i aspektów organizacyjnych, przez relacje z podmiotami zewnętrznymi w postaci dostawcy usługi, a kończąc na samych klientach instytucji finansowej, których ostatecznie dotyczą skutki outsourcingu. Wielość i kompleksowość obszarów funkcjonowania tych instytucji i pokrywających się z nimi obszarów ryzyk związanych z outsourcingiem powoduje, że proces ten powinny być w sposób szczególny zarządzany i nadzorowany w ramach wewnętrznej organizacji instytucji finansowej, w tym powinien on być precyzyjnie uwzględniony w wewnętrznych procedurach kontroli i audytu.

Marcin Pietkiewicz, Zespół Rynków Kapitałowych i Instytucji Finansowych kancelarii Wardyński i Wspólnicy