Chmura w sektorze bankowym – potrzeba zmiany systemowej
Polska przenosi się do chmury powoli. Polski sektor finansowy jeszcze wolniej. Sektor bankowy świętuje pojedyncze projekty chmurowe jak zdobycie K2 zimą. Świat nie tyle jest od nas szybszy, co już do chmury się przeniósł, i będzie przenosił się dalej. Czy jest szansa na zmianę trendu w Polsce?
Sytuacja pandemii Covid-19, zamknięcie całych sektorów gospodarki, przeniesienie pracy do trybu zdalnego i paląca konieczność uelastycznienia prowadzonego biznesu jaskrawo pokazały, że jedną z kluczowych technologii dla przetrwania w tych trudnych czasach jest szeroko rozumiana technologia chmurowa. Fakt ten jest na tyle oczywisty, że nie ma potrzeby jego dalszego komentowania.
Sektor finansowy, w tym przede wszystkim sektor bankowy, który jak wynika z analiz rynkowych1 może zostać poważnie dotknięty kryzysem wywołanym pandemią COVID-19, nie jest wyjątkiem i potrzebuje rozwiązań chmurowych jak kania dżdżu. Taki wniosek płynie również z obszernego raportu przygotowanego w kwietniu 2020 przez Związek Banków Polskich i firmę Accenture2.
Wydaje się, że w zasadzie wszyscy gracze na rynku finansowym mają podobne zdanie. Komisja Nadzoru Finansowego włożyła dużo wysiłku w przygotowanie skonsultowanych z sektorem rekomendacji w zakresie korzystania przez podmioty nadzorowane z rozwiązań przetwarzania danych w chmurze3 (dalej Komunikat UKNF). Dokument został opublikowany 23 stycznia 2020 r., a już 26 marca 2020 pod wpływem pandemii KNF zmienił swoje wytyczne uelastyczniając obowiązki zgłaszania przez podmioty nadzorowane zamiaru przetwarzania danych w chmurze (wydłużono terminy i umożliwiono dokonanie zgłoszenia po rozpoczęciu przetwarzania – dowód na wsłuchiwanie się w potrzeby rynku i elastyczne podejście). Ostatnio informacją numer jeden stała się zapowiadana, warta miliard dolarów, inwestycja firmy Microsoft w infrastrukturę chmurową w Polsce i partnerstwo z tzw. polską Chmurą Krajową powołaną do życia przez PKO BP i Polski Fundusz Rozwoju4.
Przestarzałe regulacje
O czym najwięksi gracze rynku finansowego niechętnie mówią głośno, a o czym od lat huczy w kuluarach, to przeszkody regulacyjne. W przywołanym powyżej, liczącym 60 stron raporcie Związku Banków Polskich i firmy Accenture kwestiom regulacyjnym poświęcono jedną stronę.
Na podstawie mojej praktyki doradzania w projektach informatycznych zarówno podmiotom nadzorowanym na rynku polskim i europejskim, jak i dostawcom, (w tym w zakresie usług chmurowych, a które rozwiązania nie są teraz dostarczane w modelu chmurowym?), mogę dość jednoznacznie wskazać największe przeszkody regulacyjne:
- ograniczony łańcuch poddostawców
- zakaz ograniczenia odpowiedzialności dostawcy wobec banku za szkody klientów banku
- konieczność uzyskania uprzedniego zezwolenia KNF na zawarcie umowy przewidującej outsourcing spoza Europejskiego Obszaru Gospodarczego
- ograniczenie możliwości ujawnienia przez bank tajemnicy bankowej do dwóch trybów – za wyraźnym upoważnieniem klienta banku albo na podstawie umowy outsourcingowej zawartej w reżimie outsourcingu regulowanego (wyjątków wynikających z art. 105 Prawa bankowego nie liczę)
- niejako powiązany, a niewynikający z przepisów prawa, obowiązek (czy tylko rekomendacja?) zatrudniania osób uzyskujących dostęp do tajemnicy bankowej na podstawie umowy o pracę.
Zanim omówię poszczególne ograniczenia chcę podkreślić, że niektóre z nich mają głęboki sens (jak np. ochrona tajemnicy bankowej) i zapewne nie można z nich zrezygnować. Należy się jednak zastanowić, jak podejść do nich inaczej, aby nie blokować rozwoju technologicznej strony bankowości.
Warto też podkreślić, że usługi przetwarzania danych w chmurze nie muszą być automatycznie kwalifikowane jako outsourcing regulowany w rozumieniu przepisów art. 6a – 6d Prawa bankowego o ile nie spełniają wynikających z nich przesłanek (bezpośredniości, krytyczności, istotności, uzupełniająco dostępu do tajemnicy bankowej). Ale w praktyce, szczególnie tam, gdzie dochodzi do przetwarzania tajemnicy bankowej, w zasadzie wszystkie umowy na dostawę rozwiązań chmurowych będą kwalifikowane jako podlegające reżimowi outsourcingu bankowego – czy to z obawy przed kontrolą KNF, czy z bardziej pragmatycznego powodu – braku konieczności uzyskiwania upoważnienia na ujawnienie tajemnicy bankowej.
Przeszkoda numer jeden - ograniczony łańcuch poddostawców
Zgodnie z art. 6d ust. 7 Prawa bankowego5, jeżeli umowa outsourcingowa to przewiduje, outsourcer (dostawca) może podzlecić wykonanie części powierzonej mu przez bank czynności swojemu poddostawcy.
Z tej pozytywnej normy nadzór wyinterpretował6 a contrario, w mojej ocenie rozszerzająco i niezasadnie, negatywną normę ograniczającą możliwość dalszego podzlecenia części czynności bankowej (w tym czynności faktycznych związanych z działalnością bankową).
Taka interpretacja nie wynika ani z hipotezy przepisu 6a ust 7 Prawa bankowego (bank i jego dostawca związani umową outsourcingową), ani z jego dyspozycji (pozytywna możliwość dalszego podzlecenia), ani z wykładni systemowej (kolejne podmioty łańcucha outsourcingowego nie podlegają bezpośrednio reżimowi prawa bankowego ani nadzorowi w tym zakresie – choć oczywiście pośrednio tak, bo dostarczają usługi, których końcowymi odbiorcami są podmioty nadzorowane). Co więcej, ze ścisłego rozumowania a contrario wynika jedynie zakaz dalszego podzlecenia przez pierwszy poziom dostawców w przypadku, w którym umowa outsourcingowa tego nie przewiduje. Rozciąganie takiego zakazu w sposób ogólny na dalsze podmioty łańcucha outsourcingowego jest nadinterpretacją.
Warto dodać, że organy administracji publicznej takie jak KNF mogą działać tylko w granicach i na podstawie obowiązującego prawa. Jeżeli tę oczywistą konstatację powiązać z ogólną zasadą prawną, że przepisów sankcyjnych nie można interpretować rozszerzająco, w mojej ocenie odmienna od KNF interpretacja art. 6a ust 7 Prawa bankowego (w przypadku wdrożenia jej w życie) nie może prowadzić do ukarania jakiegokolwiek banku w postępowaniu administracyjnym.
Jest oczywiście wykładnia celowościowa – zapewnienie kontroli podmiotów nadzorowanych i samego nadzoru nad łańcuchami dostawców, szczególnie tam, gdzie może dochodzić do ujawnienia tajemnicy bankowej, może być uzasadniane celem wprowadzonej regulacji. Trudno z takim argumentem dyskutować. Gdyby jednak racjonalny ustawodawca chciał zakazać dalszego podzlecania w łańcuchu outsourcingowym, to mógłby to napisać wprost, np.: bank nie może powierzyć wykonania czynności, o których mowa w ust. 1, przedsiębiorcy lub przedsiębiorcy zagranicznemu, o których mowa w ust. 1, jeżeli jego podwykonawca lub poddostawca powierza wykonanie choćby części tej czynności kolejnemu przedsiębiorcy lub przedsiębiorcy zagranicznemu. Taka dyspozycja w Prawie bankowym się jednak nie znalazła.
Dlaczego jest to największa przeszkoda w implementacji cloud computingu w sektorze bankowym w Polsce? Bo usługi przetwarzania danych w chmurze mają zazwyczaj bardziej złożoną strukturę. W najczęstszym modelu jest podmiot, który oferuje usługę (np. SaaS). Ten podmiot korzysta z platformy chmurowej (IaaS) jednego z dużych dostawców rozwiązań chmurowych. Te podmioty mają z kolei swoich poddostawców, choćby spółki celowe posiadające i zarządzające centrami przetwarzania danych (listy poddostawców operatorów rozwiązań chmurowych można znaleźć na stronach internetowych tych dostawców).
Już konieczność żmudnej i niezrozumiałej poza granicami Polski analizy, czy dany poddostawca jest elementem regulowanego łańcucha outsourcingowego, czy tylko jednym z setek nieistotnych poddostawców, powoduje znaczne utrudnienie wdrożenia chmury w banku (ta analiza dzieje się po obu stronach barykady – w banku i u dostawcy). Następnie podejmowane są próby sztucznego "podniesienia" niektórych poddostawców o jeden poziom wyżej, aby zmieścić się w limicie dostawca i jeden poziom poddostawców. Tworzone lub rozważane są przymusowe łączone przedsięwzięcia (JV), negocjowane są umowy back-to-back w celu zabezpieczenia wzajemnych, sztucznie wykreowanych ryzyk, na wszystko muszą być uzyskiwane zgody korporacyjne, bo to działania nietypowe, powstają konsekwencje podatkowe, etc.
W tym samym czasie w większości krajów Unii Europejskiej energia (znacznie mniejsza) angażowana jest w wynegocjowanie umowy głównej i uruchomienie usługi w banku.
Czy, idąc za Komunikatem UKNF oraz posiłkując się wytycznymi EBA w zakresie outsourcingu, których zastosowanie do usług chmurowych w polskim sektorze finansowym zostało wyłączone Komunikatem UKNF, ale które dzięki szerokim konsultacjom rynkowym są dobrym punktem odniesienia, nie można by poprzestać na obowiązku kontrolowania zakresu podzlecania (nie cała usługa, tylko jej fragment) i podmiotów zaangażowanych (lista z obowiązkiem uprzedniego zgłaszania zmian)? Cel kontroli byłby osiągnięty, a przeszkoda by zniknęła.
Przeszkoda numer dwa - (nie)ograniczenie odpowiedzialności
Zgodnie z art. 6b ust. 1 Prawa bankowego, w reżimie outsourcingu bankowego odpowiedzialności dostawcy wobec banku za szkody wyrządzone klientom (banku) wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej nie można wyłączyć ani ograniczyć.
W polskich realiach odpowiedzialności kontraktowej za szkodę, w których należy wykazać nie tylko szkodę, działanie ją powodujące, ale i adekwatny związek przyczynowy pomiędzy tą szkodą i działaniem, realne zagrożenie ekonomiczne dla dostawcy wynikające z zakazu ograniczania odpowiedzialności jest niewielkie. Mówimy tu bowiem o sytuacji, w której niewłaściwe wykonanie umowy outsourcingowej przez dostawcę spowodowałoby szkodę w majątku klienta banku, i tylko w zakresie regresu, jaki ten bank miałby do dostawcy.
Wedle mojej wiedzy (jeżeli jest inaczej, to chętnie się dowiem) roszczeń banków wobec ich dostawców z powyższego tytułu albo nie było, albo były na tyle sporadyczne, że nie przebiły się na pierwsze strony gazet.
Jednak dla podmiotów zagranicznych, szczególnie tych wywodzących się z anglosaskiej kultury prawnej, jest to przeszkoda ogromna. Dlaczego? Po pierwsze dlatego, że podmioty te zasadnie wiążą zakres własnej odpowiedzialności z wartością usług, które świadczą. Ekonomicznie nieuzasadnione jest przyjmowanie odpowiedzialności w granicach przekraczających wpływy ze świadczonych usług.
Nieograniczona lub bardzo szeroka odpowiedzialność wiąże się z kosztem ubezpieczenia działalności i może się bardzo negatywnie odbijać na cenie usług lub koszcie prowadzenia działalności. W negocjacjach podmioty całkiem zasadnie podnoszą też argument oparty o schemat dylematu społecznego. Jeżeli dany dostawca zobowiąże się wobec wszystkich swoich klientów w sposób nieograniczony (ergo, żadne ubezpieczenie takiej odpowiedzialności nie pokryje) i choćby jeden klient skorzysta z takiej odpowiedzialności wysuwając roszczenie wielokrotnie przekraczające wartości możliwe do udźwignięcia przez dostawcę, ucierpią na tym pozostali klienci. Podmiot upadnie zaspokajając (albo i nie) tylko pierwszego klienta, a reszta klientów utraci możliwość korzystania z jego usług.
Kolejnym, już czysto ekonomicznym zastrzeżeniem po stronie dostawców notowanych na giełdach papierów wartościowych jest niemożność rozpoznania przychodu z aktywnego kontraktu tak długo, jak długo trwa nieograniczona odpowiedzialność (teoretycznie bowiem cały dochód może zniknąć w czeluściach jednego roszczenia). Niemożność wykazania przychodu uniemożliwia zwiększenie wyceny akcji, a to powoduje niezadowolenie akcjonariuszy, a tego racjonalnie działający managerowie wolą unikać.
Oczywiście pojawia się pytanie, co to obchodzi polskie banki i polski nadzór finansowy? Odpowiedź jest prosta – wpływa to zarówno na zakres dostępnych usług (niektóre podmioty nie decydują się na kierowanie swoich usług do Polski, albo przynajmniej do polskiego sektora bankowego), jak i na bezpieczeństwo obrotu. Niektóre globalne podmioty tworzą bowiem spółki z ograniczoną odpowiedzialnością i stosunkowo niewielkim kapitałem właśnie w celu świadczenia usług na rzecz sektora finansowego. Spółki te mają nie tylko wymagane prawem plany ciągłości działania, ale również mniej formalne plany upadłościowe przygotowane na wypadek pojawienia się widma "nieograniczonej" odpowiedzialności.
Co więcej, sam sektor nie pomaga w unormowaniu i odczarowaniu tej przeszkody. W Standardzie wdrożeń przetwarzania informacji w chmurze obliczeniowej przygotowanym przez Związek Banków Polskich autorzy, w celu realizacji omawianego wymogu art. 6b Prawa bankowego zaproponowali klauzulę, zgodnie z którą dostawca ponosi pełną i nieograniczoną odpowiedzialność wobec banku … i dalej jak w przepisie. Innymi słowy, z zakazu ograniczenia odpowiedzialności kontraktowej zaproponowano "pełną i nieograniczoną" odpowiedzialność. Propozycja całkowicie niezrozumiała i bez wątpienia nieułatwiająca rozmów z dostawcami.
Czy wprowadzenie obowiązku utrzymywania przez dostawcę ubezpieczenia danego projektu do wysokości jego wartości, oraz zakaz ograniczania odpowiedzialności w umowie outsourcingowej poniżej wartości wynagrodzenia należnego dostawcy za jej realizację byłby wystarczający? W mojej ocenie absolutnie tak. Realnie zabezpieczałby podmioty nadzorowane równie dobrze jak enigmatyczny zakaz ograniczenia odpowiedzialności, a nie utrudniałby rozmów z podmiotami z innego kręgu prawno-kulturowego.
Przeszkoda numer trzy - uzyskanie zezwolenia KNF na outsourcing spoza EOG
Prawo bankowe nakłada na podmioty nadzorowane obowiązek uzyskania uprzedniej zgody KNF na zawarcie umowy outsourcingowej przewidującej outsourcing spoza Europejskiego Obszaru Gospodarczego (w tym usługi świadczone przez podmioty spoza EOG).
Trudno dyskutować z racjonalnością takiego obowiązku. Od tego jest nadzór, żeby wprowadzać mechanizmy pozwalające na realne sprawowanie nadzoru nad podległym rynkiem. Oczywiście, świat stał się globalną wioską, szczególnie świat nowych technologii, ale już ramy prawne, możliwość egzekucji wynikających z umów zobowiązań i lokalne regulacje w zakresie świadczenia danych usług mogą się bardzo różnić. Nadzór powinien wiedzieć, jeżeli podległy mu podmiot wybiera kierunek nabywania usług bardziej "egzotyczny" niż EOG.
Problem leży w czym innym – realnym procesie uzyskiwania tych zezwoleń. Wedle mojej wiedzy) jest to proces długotrwały i niepewny. Długotrwały na tyle, że czasami umiera przewaga konkurencyjna wynikająca z wdrożenia jakiegoś rozwiązania. Dlaczego – dlatego, że aby złożyć wniosek trzeba mieć wynegocjowaną ostateczną umowę, zebraną całą dokumentację, itp. Często trzeba więc zainwestować kilka miesięcy pracy zespołów po obu stronach, aby dojść do momentu, w którym w ogóle można wnosić o zezwolenie. Następnie UKNF ma kilka miesięcy (od trzech do nawet sześciu w trudnych przypadkach) na wydanie decyzji. Tyle, że w trakcie zazwyczaj pojawiają się pytania, prośby o uzupełnienie wniosku przez dosłanie jakiejś dokumentacji, albo przetłumaczenie jej na polski. Po uzupełnieniu wniosku czas startuje dla UKNF od nowa (nie musi, ale często startuje). Nawet przyjmując wymarzony scenariusz, w którym po trzech miesiącach bank uzyskuje zgodę, są to trzy miesiące "stracone". A zwykle trwa to dłużej.
Jest jeszcze jeden powód niechęci sektora do wchodzenia w outsourcing zagraniczny. W procesie wydawania zgody na zawarcie danej umowy KNF niejako błogosławi pewne rozwiązania. Jest więc, co zrozumiałe, dużo bardziej ostrożna i wnikliwa w analizie i ocenie rozwiązań tak umownych jak i technicznych. Wyjaśnienie tego typu wątpliwości nadzoru w teorii, przy braku realnej współpracy dostawcy i banku jest dużo trudniejsze niż wyjaśnienie tych samych wątpliwości i zaakceptowanie tych wyjaśnień post factum, gdy usługa już działa, zespoły się dotarły i różne procedury i procesy przeszły chrzest bojowy. A w tle jest już okres monetyzowania rozwiązania, więc jest też budżet na ewentualne zmiany i poprawy (łatwiej utrzymać owocną relację, niż stworzyć nową – wie to każdy podmiot prowadzący biznes). Krótko mówiąc, proces oceny modelu współpracy przez KNF, często wznawia negocjacje zainteresowanych stron, wystawiając na próbę możliwości techniczne, finansowe i cierpliwość dostawców.
Wisienką na torcie jest sytuacja związana z Brexitem. Wielka Brytania, pomimo że formalnie utraciła status członka Unii Europejskiej i EOG, na mocy "umowy rozwodowej" oraz przyjętych w jej wykonaniu przepisów ustawy z 19 lipca 2019 o okresie przejściowym traktowana jest jak państwo członkowskie UE. Stan ten będzie trwał do 31 grudnia 2020, chyba że do lipca 2020 zostanie przedłużony7, co w związku z pandemią COVID-19 jest bardzo prawdopodobne. Powstaje więc pytanie prawne, co dalej? Czy podmiot nadzorowany, który zawarł umowę outsourcingową z podmiotami z UK przed Brexitem (nie musiał uzyskiwać zezwolenia KNF), do 31 grudnia 2020 musi jedynie złożyć wniosek o zezwolenie KNF zgodnie z art. 6d Prawa bankowego, czy też musi już to zezwolenie uzyskać wcześniej? Problem ten adresowała ustawa z 15 marca 2019 r. o zasadach prowadzenia działalności przez niektóre podmioty rynku finansowego w związku z wystąpieniem Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej bez zawarcia umowy, o której mowa w art. 50 ust. 2 Traktatu o Unii Europejskiej, ale zgodnie z jej art. 13 nie weszła w życie, bo do bezumownego rozwodu UK z UE nie doszło.
Wydaje się, że wprowadzenie w proces uzyskiwania zezwolenia, o którym mowa w art. 6d Prawa bankowego, procesu realnego, roboczego dialogu z KNF jeszcze na etapie przygotowywania dokumentacji umownej mogłoby być pierwszym krokiem do przyspieszenia i usprawnienia opisywanego procesu. Warunkiem jest jednak spójność tego procesu po obu stronach. Jeżeli bank ustali coś z jednym Departamentem w UKNF, to powinno to być wiążące dla pozostałych Departamentów w procesie wydawania zezwolenia. To samo dotyczy banków – jeżeli dane rozwiązanie zostało przedyskutowane z nadzorem w danym kształcie, to jego zmiana na późniejszym etapie negocjacji będzie siłą rzeczy powodować opóźnienie procesu wydawania zezwoleń.
Proces takiego dialogu z nadzorem działa np. w Wielkiej Brytanii poprzez tzw. Regulatory Sandbox (piaskownicę regulacyjną)8. W Polsce taka piaskownica też powstała, później projekt jej budowy został zawieszony i cisza.
Przeszkoda numer cztery - tajemnica bankowa
Nie, oczywiście tajemnica bankowa sama w sobie nie jest przeszkodą i potrzeba jej ochrony wydaje się na tyle niepodważalna, że nie będę nawet rozwijał tego wątku.
Problem pojawia się w prawnej podstawie do jej ujawnienia. Pomijając długą listę formalnych wyjątków pozwalających na ujawnienie tajemnicy bankowej (art. 105 Prawa bankowego), podstawą taką jest albo wyraźne upoważnienie podmiotu, którego dana informacja dotyczy, albo umowa outsourcingowa w rozumieniu art. 6a – 6d Prawa bankowego, z wszystkimi omówionymi wyżej obostrzeniami i regulacyjnymi przeszkodami.
Upoważnienie klienta nie zawsze jest wyjściem, bo jego uzyskanie przez bank jest procesem niełatwym, szczególnie od istniejących klientów (nowym można prośbę o takie upoważnienie pokazać w ramach pakietu informacyjnego i zbierania zgód przy on-boardingu), a co więcej, średnio przyjaznym dla samego użytkownika (kolejne pop-up'y, formalne kroki w procesie skorzystania z jakiejś usługi, prawnicze teksty do przeczytania).
Stąd w wielu przypadkach banki wolą zawrzeć umowę, którą kwalifikują jako outsourcing regulowany, pomimo, że argumentów przeciw takiej kwalifikacji może być więcej niż za. Niestety wpadają wtedy w opisany wyżej bardzo rygorystyczny reżim regulowanego outsourcingu bankowego.
Wydaje się, że brakuje pośredniego poziomu umowy outsourcingowej – takiej, która musi być oczywiście bezpieczna i spełniać co do zasady wymogi Komunikatu UKNF czy wytycznych EBA, ale do której nie znajdują zastosowania omawiane restrykcyjne wymogi przepisów 6a – 6d Prawa bankowego.
Zarówno wytyczne EBA w zakresie outsourcingu9 jak i regulacje MIFID II10 wprowadzają pojęcie outsourcingu i wydzielają z niego outsourcing funkcji ważnych lub krytycznych. Oczywiście ten drugi obwarowany jest dalej idącymi wymogami. Polskie Prawo bankowe mogłoby również wprowadzić takie rozróżnienie, jednocześnie zezwalając na ujawnienie tajemnicy bankowej w ramach "zwykłej" relacji outsourcingowej. Argumentem za wprowadzeniem takiego "rozluźnienia" regulacyjnego jest bezwzględne stosowanie przepisów RODO w zakresie danych osobowych. Zaryzykuję stwierdzenie, że większość informacji objętych tajemnicą bankową jest równocześnie daną osobową. Jeżeli tak, to istnieje regulacja dotycząca ich ochrony. Regulacja szczególna, jaką wobec RODO jest Prawo bankowe11, może więc zostać ograniczona do przypadków faktycznie szczególnych – bardzo wrażliwych, krytycznych z punktu widzenia ciągłości działania i bezpieczeństwa banków i ich klientów.
Takie podejście stosowane jest w zachodnich systemach prawnych, np. w Wielkiej Brytanii12 czy w Niemczech13. Innymi słowy, bez rezygnacji z pryncypialnej idei ochrony tajemnicy bankowej, można dopuścić możliwość jej ujawniania dostawcom usług w reżimie "lekkiego" outsourcingu, z zachowaniem obowiązku pisemności umowy i zachowania wszelkich zasad bezpieczeństwa, ale bez konieczności wprowadzania nieograniczonej odpowiedzialności i ograniczania łańcucha outsourcingowego do dwóch podmiotów po przecinku.
Przeszkoda ostatnia - prawo pracy
Przez lata KNF kierował do banków indywidualne zalecenia, z których wynikało, że podmioty świadczące usługi na rzecz banków w reżimie outsourcingu bankowego muszą zatrudniać pracowników, przynajmniej tych mających dostęp do tajemnicy bankowej, na podstawie umowy o pracę14. Jest to oczekiwanie przestarzałe, całkowicie oderwane od realiów polskiego rynku IT, na którym zatrudnienie informatyka na umowę o pracę i zmuszenie do rezygnacji z 19% podatku dochodowego na rzecz 32% podatku graniczy z cudem.
Nie wiem, czy KNF nadal podtrzymuje takie stanowisko.
Jeżeli nie, byłoby rewelacyjnie, gdyby wydała jasny komunikat w tym zakresie, bo szereg podmiotów nadzorowanych na rynku nadal wymaga od dostawców takiej formy zatrudnienia, co rodzi kuriozalne sytuacje zatrudniania specjalistów na 1/16 czy 1/32 etatu (fikcja prawna nigdy nie jest dobra, a czasem jest nawet nieważna).
Jeżeli natomiast KNF podtrzymuje swoje stanowisko, to dla zagwarantowania przejrzystości relacji w ramach nadzorowanego rynku również pomocne byłoby jasne i jednoznaczne podsumowanie celu i podstawy prawnej takiego oczekiwania w komunikacie. Wtedy można by podjąć rzeczową dyskusję i być może przekonać się nawzajem do słuszności jednego, bądź drugiego poglądu.
Prosta droga, przyszłość niepewna
Mam wrażenie, że zarówno KNF jak i Ministerstwo Finansów, a bez wątpienia banki, sektor FinTech i specjaliści doradzający temu rynkowi, mają świadomość potrzeby zmian opisanych powyżej przeszkód i wszyscy mniej lub bardziej wiedzą, jakie zmiany wprowadzić. Sam uczestniczyłem z ramienia jednej z fundacji (think tanku) w opiniowaniu zakresu i kierunku zmian. Propozycje były zebrane, przedyskutowane przez wymienione wyżej grono (bez wyjątku) i zamienione w projekty konkretnych zapisów prawnych. I wszystko to miało miejsce w 2017 roku. Po drodze zaangażowaliśmy się w tworzenie piaskownicy regulacyjnej (Bird & Bird było jednym ze współ-operatorów piaskownicy), napisaliśmy szereg raportów wskazujących na potrzebę zmian w omawianym zakresie, za każdym razem, gdy odwiedzamy KNF reprezentując naszych klientów, temat wraca jak bumerang. Minęły 3 lata. Jest 2020, świat inwestuje w rozwiązania chmurowe, bo jak pokazała pandemia COVID-19, mogą one być absolutnie kluczowe dla przetrwania gospodarki.
Być może należy wykorzystać takie przeciwności losu jak pandemia COVID-19, a z drugiej strony takie szanse jak imponująca inwestycja Microsoftu w "polską" chmurę, jako impuls do dokonania zmian systemowo – regulacyjnych pozwalających na dalszy bezpieczny, ale dynamiczny i "uchmurowiony" rozwój polskiego sektora finansowego.
1Za F. Kowalik, „Raport o stanie biznesu w czasie kryzysu epidemiologicznego: Banki pod presją ryzyka kredytowego i NBP”, https://www.forbes.pl/gospodarka/banki-i-system-finansowy-w-czasie-koronawirusa-raport/yx4fmlr (dostęp 28.05.2020 r.)
2K.. Mazurek, M. Chudy, W. Pantkowski, „Chmura obliczeniowa w sektorze bankowym na świecie, w Europie i w Polsce”, https://www.accenture.com/_acnmedia/PDF-123/Accenture-Cloud-Computing-Banking-Sector.pdf (dostęp 28.05.2020 r.)
3Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z 23 stycznia 2020 r., https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf, (dostęp 28.05.2020 r.
4Za M. Wąsowski, “Największa inwestycja technologiczna w historii Polski. Microsoft wyłoży miliard dolarów”, https://businessinsider.com.pl/technologie/nowe-technologie/microsoft-zainwestuje-miliard-dolarow-w-polsce-na-centrum-danych-i-technologie/92le0vd (dostęp 28.05.2020 r.)
5Jeżeli umowa powierzająca wykonywanie czynności, o których mowa w ust. 1, to przewiduje, przedsiębiorca lub przedsiębiorca zagraniczny, o którym mowa w ust. 1, może powierzyć innemu przedsiębiorcy lub przedsiębiorcy zagranicznemu, w drodze odrębnej umowy, wykonywanie:
1)określonych w umowie zawartej z bankiem czynności służących realizacji głównego świadczenia wynikającego z tej umowy, po uzyskaniu pisemnej zgody banku, lub
2)powierzonych przez bank czynności, jednorazowo, w przypadku gdy w następstwie siły wyższej nie może ich wykonywać samodzielnie, na czas niezbędny do usunięcia przyczyn uniemożliwiających wykonywanie tych czynności.
6Stanowisko UKNF dotyczące wybranych zagadnień związanych z wejściem w życie Wytycznych EBA w sprawie outsourcingu i ich uwzględnianiem w działalności banków z 16.09.2019 r., https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf ,(dostęp 28.05.2020 r.)
8Financial Conduct Authority Regulatory sandbox, https://www.fca.org.uk/firms/innovation/regulatory-sandbox, (dostęp 28.05.2010 r.)
9Europejski Urząd Nadzoru Bankowego „Revised Guidelines on outsourcing arrangements” (EBA/GL/2019/02, 25.02.2019 r.), https://eba.europa.eu/sites/default/documents/files/documents/10180/2551996/38c80601-f5d7-4855-8ba3-702423665479/EBA%20revised%20Guidelines%20on%20outsourcing%20arrangements.pdf ,Tytuł II,( dostęp 28.05.2020 r.)
10Rozporządzenie delegowane Komisji (UE) 2017/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy
11Ministerstwo Cyfryzacji, „RODO Poradnik dla sektora FinTEch” , listopad 2018 r. https://www.gov.pl/documents/31305/0/RODO+-+FinTech-ma%C5%82y.pdf/372bd1d0-feb6-3473-9ea1-3c7de0a001b7, (dostęp 28.05.2020 r.)
12Financial Conduct Authority Handbook, SYSC 8.1 “General outsourcing requirements”, https://www.handbook.fca.org.uk/handbook/SYSC/8/1.html, (dostęp 28.05.2020 r.)
13P. Bräutigam, T. Thalhofer, Y. Dietzel, F. Vilgertshofer, „Outsourcing: Germany overview” https://uk.practicallaw.thomsonreuters.com/7-5014946?transitionType=Default&contextData=(sc.Default)&firstPage=true&bhcp=1, (dostęp 28.05.2020 r.)
14„II Rekomendacja Rady Prawa Bankowego w sprawie niektórych problemów interpretacyjnych związanych z nowelizacją Prawa bankowego w zakresie outsourcingu” z 30 maja 2012 r.,https://www.zbp.pl/getmedia/1abe7286-1180-4fc9-8ae0-1fc8cf9bbc2d/II_rekomendacja_rpb_outsourcing, str. 5, (dostęp 28.05.2020 r.)
