Korzystanie przez banki z usług dostawców wykonujących swoje czynności z wykorzystaniem chmury obliczeniowej w świetle przepisów o podoutsourcingu bankowym
Monitor Prawa Bankowego 2023/03 Marzec
Korzystanie przez banki z usług chmury obliczeniowej[1] staje się coraz bardziej powszechne. W najprostszym modelu korzystanie to następuje na podstawie umowy pomiędzy bankiem a dostawcą chmury obliczeniowej[2]. Korzystanie to może jednak przybierać też formę pośrednią, w ramach której bank zawiera umowę z dostawcą[3], który wykonując swoje czynności, wykorzystuje usługi chmury obliczeniowej świadczone mu przez własnego dostawcę chmury obliczeniowej[4]. Taki pośredni model korzystania przez banki z usług chmury obliczeniowej wywołuje w praktyce wątpliwości w świetle przepisów o podoutsourcingu bankowym.
Jan Ząbczyk
Model pośredni, w którym dostawca w ramach swoich czynności dla banku wykorzystuje usługi chmury obliczeniowej świadczone mu przez własnego dostawcę chmury obliczeniowej, może dotyczyć w praktyce szerokiego spektrum przypadków. Najbardziej oczywistym przykładem są sytuacje, w których dostawca świadczy bankowi, z wykorzystaniem usług chmury obliczeniowej, własne usługi IT (najczęściej w modelu SaaS). Możliwe są też sytuacje, w których dostawca wykonuje na rzecz banku czynności, które nie są usługami IT (np. typowe pośrednictwo w zawieraniu umów kredytu i pożyczki pieniężnej), jednakże w ich zakresie wykorzystuje on usługi chmury obliczeniowej świadczone przez własnego dostawcę chmury obliczeniowej. Mogą to być nawet powszechne i standardowe usługi chmury obliczeniowej: edytory tekstu, dyski chmurowe, poczta elektroniczna itp.
Pośredni model korzystania przez banki z usług chmury obliczeniowej – w porównaniu z modelem bezpośrednim (w którym bank zawiera umowę bezpośrednio z dostawcą chmury obliczeniowej) – jest zarówno bardziej skomplikowany prawnie, jak i często trudniejszy do zarządzania i nadzorowania przez bank w ramach systemu zarządzania wewnętrznego banku. Wskazana złożoność prawna wynika w szczególności ze skomplikowanego stanu faktycznego (chociażby pod względem wielości podmiotów w łańcuchu kontraktowym) oraz mnogości obowiązujących równolegle regulacji outsourcingu bankowego.
Regulacje outsourcingu bankowego
Reżim prawny outsourcingu bankowego określają przede wszystkim bezwzględnie obowiązujące przepisy p.b. (w tym art. 6a-6e p.b.)[5]. Co ważne, wskazane przepisy nie mają swojego odpowiednika w dyrektywie CRD[6] i nie stanowią jej implementacji. Dodatkowo – w zależności od zakresu czynności wykonywanych i powierzanych przez bank – mogą znajdować zastosowanie regulacje outsourcingu unormowane w innych przepisach imperatywnych, przede wszystkim w art. 81a-81f w zw. z art. 70 ust. 2 u.o.i.f.[7] (odnośnie do banków prowadzących działalność inwestycyjną). Wywołuje to wątpliwości interpretacyjne co do wzajemnej relacji tych przepisów do przepisów p.b.[8].
Dużo bardziej szczegółowo outsourcing bankowy został uregulowany w soft law. Na szczeblu unijnym kluczowymi źródłami regulacji są zwłaszcza Wytyczne EBA w sprawie outsourcingu[9], a także – w odniesieniu do outsourcingu IT – Wytyczne EBA w sprawie zarządzania ryzykiem ICT[10]. Na szczeblu krajowym podstawowe znaczenie zaś mają w szczególności: w zakresie outsourcingu IT – Rekomendacja D KNF[11], a w odniesieniu do outsourcingu chmury obliczeniowej – Komunikat chmurowy UKNF.
Niestety, wskazane regulacje różnią się między sobą nie tylko zakresem podmiotowym i przedmiotowym, ale nawet samym rozumieniem pojęcia outsourcingu[12] i podoutsourcingu[13]. Wszystkie te regulacje mogą przy tym potencjalnie znajdować zastosowanie w przypadku, gdy bank korzysta z usług dostawcy, który wykorzystuje usługi chmury obliczeniowej świadczone przez własnego dostawcę ch (...)