Udostępnianie podmiotowi zewnętrznemu informacji objętych tajemnicą bankową
Udostępnianie podmiotowi zewnętrznemu informacji objętych tajemnicą bankową
Bank, jako instytucja zaufania publicznego, ma szczególny obowiązek chronić informacje dotyczące swoich Klientów, w tym obowiązek zachowania tajemnicy bankowej. Zgodnie z art. 104 ust. 1 Prawa bankowego Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, co do zasady są zobowiązane do zachowania tajemnicy bankowej, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Klienci banku muszą mieć pewność, że informacje ich dotyczące nie są udostępniane podmiotom/osobom trzecim, które nie posiadają - na mocy powszechnie obowiązujących przepisów prawa - szczególnych praw dostępu do takich informacji. Obowiązek zachowania tajemnicy bankowej należy tu odróżnić od konieczności ochrony danych osobowych, które (w przypadku banków) stanowią często część informacji objętych tajemnicą bankową. Mimo, iż oba „zobowiązania” nakładają się na siebie, to możliwość udostępnienia przez Bank informacji stanowiących tajemnicę bankową regulują zupełnie inne przepisy niż te, które dotyczą udostępniania przez bank innemu podmiotowi danych osobowych. Oba obowiązki podlegają więc zupełnie różnym reżimom prawnym.
Warto zauważyć, iż Bank zobowiązany jest do zachowania w tajemnicy nie tylko informacji, w których posiadanie wszedł w związku z realizacją czynności bankowych i wykonywaniem umów z klientami, ale także informacji, w których posiadanie wszedł w związku z negocjacjami i w trakcie zawierania umowy, nawet jeśli do ich zawarcia nie doszło. Informacje podlegające ochronie tajemnicy bankowej mogą dotyczyć czynności bankowej (np. warunków umownych), jak również danych na temat klienta banku oraz jego sytuacji finansowej, faktycznej i prawnej, np. miejsce zatrudnienia, statusu majątkowego czy źródła dochodów. Przykładowymi czynnościami bankowymi objętymi tajemnicą bankową będą np:
-
prowadzenie rachunków bankowych,
-
udzielanie kredytów i pożyczek,
-
udzielanie i potwierdzanie gwarancji bankowych oraz otwieranie i potwierdzanie akredytyw,
-
emitowanie bankowych papierów wartościowych,
-
przeprowadzanie bankowych rozliczeń pieniężnych,
-
świadczenie usług płatniczych,
-
prowadzenia operacji finansowych terminowych,
-
operacje czekowe i wekslowe oraz operacje, których przedmiotem są warranty,
-
nabywanie i zbywanie wierzytelności pieniężnych,
-
przechowywanie przedmiotów i papierów wartościowych oraz udostępnianie skrytek sejfowych,
-
udzielanie i potwierdzanie poręczeń,
-
wykonywanie czynności zleconych, związanych z emisją papierów wartościowych.
Tak jak wskazano powyżej, nie należy mylić ze sobą obowiązku zachowania przez bank tajemnicy bankowej z obowiązkiem ochrony danych osobowych (stanowiącym najczęściej część informacji objętej tajemnicą bankową). Tę drugą sytuacje szczegółowo reguluje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE L 119 z dnia 4 maja 2016r.), dalej zwanym tutaj „RODO”. W dalszej części opinii odniosę się do tej problematyki nieco szerzej, wskazując warunki, które umożliwiają udostępnienie przez bank danych osobowych innemu podmiotowi.
Sytuacją wyłączającą obowiązek zachowania przez bank tajemnicy, tj. okoliczność, w której bank jest uprawniony do jej ujawnienia, wskazana jest w art. 105 ust. 4 Prawa bankowego, ale dotyczy ona wyłącznie takich podmiotów jak bankowe izby gospodarcze oraz biura informacji gospodarczej działające na podstawie ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Pewną możliwość udostępniania przez banki innym podmiotom informacji objętych tajemnicą bankową daje też art. 104 ust. 2 Prawa bankowego, przy czym na podstawie pkt. 1 w/w przepisu możliwość taka dotyczyłaby wyłącznie przypadków, w których bez powierzenia podmiotowi zewnętrznemu informacji objętych tajemnicą bankową nie byłoby możliwe należyte wykonanie przez ten podmiot umowy, na podstawie której realizuje on czynność bankową lub czynność pozostającą w ścisłym związku z zawarciem i wykonaniem tej umowy. W praktyce jednak oba w/w przepisy mocno ograniczają grupę podmiotów, którym bank mógłby powierzyć informacje objęte tajemnicą bankową. Zgodnie bowiem z art. 6a ust. 1 pkt. 1 Prawa bankowego, bank ma możliwość w drodze umowy zawartej na piśmie powierzyć przedsiębiorcy wykonywanie w imieniu i na rzecz banku pośrednictwa dotyczącego usług wyłącznie w zakresie czynności wymienionych w art. 5 i 6 Prawa bankowego. W innym przypadku konieczna będzie zgoda KNF na zawarcie takiej umowy wyrażona w trybie art. 6a ust. 1 pkt. 1 lit. m) Prawa bankowego. Powyższy przepis (przynajmniej na ten moment) dość wąsko definiuje możliwy do zastosowania zakres zlecanych przez bank usług. Przedmiotem umowy zawieranej z firmą zewnętrzną musiałyby być bowiem wyłącznie czynności wskazane w art. 6a ust. 1 pkt. 1 lit. a – l) Prawa bankowego. W przypadku powierzenia podmiotowi zewnętrznemu innej czynności (nie wymienionej w art. 6a ust. 1 pkt. 1 lit. a – l), podpisanie umowy outsourcingowej musiałoby uzyskać dodatkowo akceptację KNF.
Nie jest jednak tak, iż zawarcie umowy z podmiotem zewnętrznym w oparciu o art. 6a ust. 1 w każdej sytuacji wymagałaby zgody Komisji Nadzoru Finansowego. Co prawda wyłączenia wskazane w pkt. 3 - 12 art. 104 ust. 2 nie będą miały dużego znaczenie w praktyce, w ramach której bank w ramach współpracy przekazuje innym podmiotom informacji objętych tajemnicą bankową, jednak szerszą możliwość daje oparcie takiej umowy o warunki wskazane w Innym rozwiązaniem byłoby oparcie takiej umowy o warunki wskazane w art. 6a ust. 1 pkt. 2 Prawa bankowego. Zgodnie z zawartą tam delegacją, bank w drodze umowy zawartej na piśmie ma możliwość powierzyć przedsiębiorcy wykonywanie czynności faktycznych związanych z działalnością bankową. Do powierzenia przedsiębiorcy tego rodzaju czynności, tj. „czynności faktycznych”, nie jest konieczne uzyskanie przez bank zezwolenia KNF (chyba że powierzenie to dotyczy tzw. outsourcingu zagranicznego, o którym mowa w art. 6d ustawy), przy czym z zakresu czynności, które mogą być przedmiotem takiego powierzenia ustawa wyłącza:
-
zarządzanie bankiem w rozumieniu art. 368 § 1 Kodeksu spółek handlowych oraz w rozumieniu art. 48 ustawy – Prawo spółdzielcze, w szczególności zarządzanie ryzykiem związanym z prowadzeniem działalności bankowej, w tym zarządzanie aktywami i pasywami, dokonywanie oceny zdolności kredytowej i analizy ryzyka kredytowego,
-
przeprowadzanie audytu wewnętrznego banku.
Powstaje jednak pytanie, jak rozumieć pojęcie „czynności faktycznych związanych działalnością bankową". Z pewnością należy przyjąć, że „działalnością bankową” w rozumieniu art. 6a ust. 1 pkt. 2 Prawa bankowego jest zarówno wykonywanie czynności bankowych wskazanych w art. 5 ust. 1 i 2, jak również dokonywanie działań wymienionych w art. 6 ust. 1 tej ustawy. Nieco większą trudność przysparza określenie tego, czym są i jak rozumieć pojęcie „czynności faktycznych”. Przyjmuje się, zarówno w literaturze prawniczej, jak również w orzecznictwie, iż chodzić tu będzie o wykonywanie przez podmiot zewnętrzny takich czynności, które pozostają w funkcjonalnym związku z działalnością bankową w powyższym znaczeniu. Ich zakres wyznaczał będzie przedmiot regulacji prawa bankowego, którym są zasady prowadzenia tego rodzaju działalności. Przykładem powierzenia czynności faktycznych związanych z działalnością bankową w rozumieniu art. 6a ust. 1 pkt. 2 prawa bankowego będzie zatem zlecenie przez bank podmiotowi zewnętrznemu np. przeliczania, sortowania, pakowania oraz oznaczania opakowań banknotów i monet. Czynnościami faktycznymi będzie także np. ochrona transportu środków pieniężnych czy reklama usług bankowych, a także obsługa wdrożeniowa i powdrożeniowa systemu bankowego, w tym również na przykład obsługa i serwis platformy umożliwiającej bankom sprzedaż swoich produktów i usług oraz produktów i usług firm ubezpieczeniowych.
Jeśli podmiot zewnętrzny, zgodnie z przedmiotem umowy podpisywanej z bankiem, musi mieć zapewniony dostęp do danych osobowych przetwarzanych przez bank oraz do informacji chronionych „tajemnicą bankową”, ale nie można w konkretnym przypadku oprzeć takiego udostępnienia na bazie art. 105 ust. 4 lub art. 104 ust. 2 pkt. 1 w połączeniu z art. 6a ust. 1 pkt. 1 Prawa bankowego, należy sformułować następującą konkluzję dotyczącą możliwości nawiązania współpracy pomiędzy bankiem a podmiotem zewnętrznym:
-
jedyną prawną przesłanką udostępnienia przez bank firmie zewnętrznej danych objętych tajemnicą bankową będzie zastosowanie, jako podstawy prawnej takiego udostępnienia, art. 104 ust. 2 pkt. 2 Prawa bankowego, a zatem przyjęcie, iż bank w drodze umowy zawartej na piśmie powierza podmiotowi zewnętrznemu wykonywanie czynności faktycznych związanych z działalnością bankową,
-
podpisywana przez bank oraz firmę zewnętrzną umowa będzie podlegać reżimowi przepisów dotyczących outsourcingu bankowego, przy czym wymóg taki wynika bezpośrednio z przytoczonych powyżej przepisów Prawa bankowego, jak również Wytycznych EBA w sprawie outsourcingu z dnia 25 lutego 2019 r.. Wytyczne EBA jasno formułują kontekst, w którym usługi świadczone przez podmiot zewnętrzny należy traktować jako outsourcing bankowy. W ich świetle outsourcing oznacza umowę, w dowolnej formie, zawartą między bankiem a usługodawcą (podmiotem zewnętrznym), na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie było by / musiałoby być realizowane samodzielnie przez bank. Wytyczne wskazują w tym zakresie jednocześnie kilka wyłączeń, które jednak nie mogą być brane pod uwagę w odniesieniu do szerokiego spektrum podmiotów,
-
prawną przesłanką transferu danych osobowych z banku do podmiotu zewnętrznego będzie podpisanie przez bank z takim podmiotem dodatkowo Umowy Powierzenia,
-
nie będzie potrzebne podpisywanie pomiędzy stronami dodatkowej umowy o poufności, ponieważ stosowne zapisy w tym zakresie zawierać powinny obie w/w umowy, tj. umowa outsourcingu oraz umowa powierzenia.
Konkludując: z jednej strony umowa outsourcingu bankowego pozwala ujawnić dostawcy tajemnicę bankową w niezbędnym zakresie, tj. w zakresie koniecznym do jej wykonania, z drugiej zaś strony ujawnienie podmiotowi zewnętrznemu informacji objętych tajemnicą bankową stanowi przesłankę uznania relacji z tym podmiotem za outsourcing w ogóle.
Opracował
Arkadiusz Kraus