Poczucie bezpieczeństwa jest tym, czym się staje.                         

W ramach niniejszej opinii rozważone zostaną przesłanki zobowiązujące Bank do zawarcia z podmiotem zewnętrznym umowy outsourcingowej w świetle wymagań określonych w ustawie Prawo bankowe oraz Wytycznych EBA w sprawie outsourcingu z dnia 25 lutego 2019 roku (dalej „Wytyczne EBA”) w kontekście dostępu przez podmiot zewnętrzny do informacji udostępnionych przez Bank.

1. Zagadnienia wstępne

Zgodnie z art. 104 ust. 1 ustawy Prawo bankowe Bank jest obowiązany zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowych, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, oraz na podstawie której Bank tę czynność wykonuje. Zwolnienie z tego obowiązku możliwe jest wyłącznie w ramach okoliczności wskazanych w ust. 2 w/w przepisu. W praktyce, najważniejszym zwolnieniem, dającym Bankowi możliwość przekazania podmiotowi zewnętrznemu informacji zawierającej tajemnicę bankową, jest sytuacja, w której bez ujawnienia informacji objętej tajemnicą bankową - ze względu na istotę i charakter czynności bankowej lub obowiązujące przepisy - nie jest możliwe należyte wykonanie umowy, na podstawie której jest wykonywana ta czynność bankowa lub należyte wykonanie czynności pozostających w związku z zawarciem i wykonaniem tej umowy oraz sytuacja, w której ujawnienie informacji objętych tajemnicą bankową następuje podmiotom, którym Bank powierzył wykonywanie tej czynności. W kontekście analizowanego „case study” kluczowe będzie pytanie, czy w ramach zakładanej współpracy pomiędzy Bankiem a „Dostawcą usługi” (dalej zwanym „Dostawcą”) dochodzi w ogóle do przekazania przez Bank Dostawcy informacji objętej tajemnicą bankową. Kolejnym zagadnieniem będzie odpowiedź na pytanie, czy w przypadku, gdy w ramach planowanej współpracy Bank nie będzie przekazywał Dostawcy informacji objętej tajemnicą bankową, umowa zawierana z Dostawcą musi przyjąć formę umowy outsourcingowej.

2. Analiza przypadku

Przypadek, który zostanie rozważony opiera się na następujących założeniach, które decydować będą o tym, w jaki sposób odpowiemy na postawione powyżej pytania. Przyjmuje się zatem, iż Dostawca, w ramach planowanej umowy z Bankiem, przyjmuje do wykonania usługę opracowania metodologii oceny punktowej klienta indywidualnego, dostosowanej do profilu klienta danego Banku, wraz z przekazaniem dokumentacji budowy tego modelu oraz  przeniesienia praw majątkowych do rezultatów prac, będących przedmiotem Umowy (dalej „Usługa”). Usługa tworzona będzie w oparciu o zebrane przez Bank archiwalne dane statystyczne dotyczące kredytobiorców Banku na poczet zrządzania ryzykiem kredytowym dotyczącym przyszłych potencjalnych Klientów Banku pochodzące z:

1. wniosków kredytowych,
2. danych behawioralnych uzyskanych z wewnętrznej bazy Banku (system bankowy) oraz baz  zewnętrznych (BIK, KRD), zebranych przez Bank w momencie analizowania wniosku kredytowego, oraz
3. informacji dotyczących obecnej jakości udzielonego klientowi kredytu (dobry/zły).

Bank zobowiązuje się zatem do dostarczania Dostawcy historycznych, statystycznych i zaszyfrowanych danych źródłowych w formie ustalonej pomiędzy Stronami. Zakres przekazywanych danych (cech) określa szczegółowo sama Umowa, przy czym, co do zasady, zakres danych odpowiada wszystkim parametrom koniecznym do wydania przez Bank decyzji kredytowej, w tym zbadanie zdolności kredytowej klienta (pod względem ilościowym i jakościowym), zgodnie z zasadami określonymi w Rekomendacji „T” KNF. Powstaje zatem następujące pytanie: czy w ramach tak zaplanowanej współpracy dochodzi do sytuacji przekazania przez Bank Dostawcy informacji objętej tajemnicą bankową? Aby na nie  odpowiedzieć musimy wiedzieć, kiedy mamy do czynienia z tajemnicą bankową oraz z jej ewentualnym przekazaniem podmiotowi zewnętrznemu. Albo jeszcze inaczej: jak w ogóle definiować „tajemnicę bankową”? Tajemnica bankowa, zgodnie z artykułem 104 ust. 1  ustawy Prawo bankowe „...obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje”. Powszechnie przyjmuje się, iż tak zdefiniowana definicja tajemnicy bankowej obejmuje dane o klientach (w tym dane osobowe), ich rachunkach i transakcjach, przy czym tajemnica bankowa w takim rozumieniu nie będzie jednocześnie tajemnicą zawodową z uwagi na brak charakterystycznej dla tej ostatniej „specyficzną więzi łączącą osobę, która powierza informacje z osobą, która z racji pełnionego zawodu jest zobowiązana do zachowania ich w tajemnicy”. A to dlatego, że Klient nie powierza swoich danych konkretnej osobie, ale Bankowi jako instytucji. Przypomnijmy - tajemnica bankowa ma na celu ochronę prywatności klientów Banku w kontekście przekazywanych przez niego Bankowi informacji, w tym danych osobowych. Ochrona taka obejmuje zarówno dane ujawnione przez konkretnego Klienta w treści samej czynności bankowej, jak również w trakcie innych czynności prawnych lub faktycznych, jeśli pozostają one z związku z czynnościami bankowymi realizowanymi przez danego Klienta z Bankiem. Analizując przywołany powyżej przepis oraz rozpatrując jego zastosowanie w praktyce bankowej, wydaje się oczywiste, iż aby mówić o informacjach obejmujących tajemnicę bankową, musimy mieć do czynienia z konkretną osobą, z którą wiązać będziemy konkretne informacje. Bez takiego odniesienia, tzn. bez możliwości skojarzenia danej informacji z konkretną osobą, nie będziemy mieli do czynienia z informacją zawierającą tajemnicę bankową. Można by tu przywołać definicję „danych osobowych” zawartą w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”, z uwagi na fakt, iż trafia ona w sedno rozpatrywanej tutaj kwestii. Przypomnijmy, zgodnie z art. 4 pkt. 1 RODO, dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających tożsamość osoby fizycznej. Nie możemy zatem przyjmować, iż informacje statystyczne, dotyczące co prawda faktycznych Klientów Banku, jednak bez ujawniania ich tożsamości, będą zawierały tajemnicę bankową. Zespól takich danych będzie miał dla jego posiadacza jedynie wartość statystyczną, bez możliwości kojarzenia ich z konkretnymi osobami fizycznymi (Klientami Banku). Zatem, w analizowanym przypadku nie będzie zachodziło ujawnienie przez Bank Dostawcy informacji objętych tajemnicą bankową. Jeśli tak, to czy konieczne będzie, aby umowa zawierana z Dostawcą musiała przyjąć formę umowy outsourcingowej?

3. Outsourcing bankowy

Jak wskazano powyżej, zwolnienie Banku z obowiązku zachowania tajemnicy bankowej możliwe jest wyłącznie w ramach zwolnień określonych w art. 104 ust. 2 ustawy Prawo bankowe, spośród których w praktyce bankowej najważniejszą jest sytuacja, w której ujawnienie informacji objętych tajemnicą bankową następuje podmiotom, którym Bank powierzył wykonywanie czynności bankowych lub czynności związanych z działalnością bankową w ramach umowy outsourcingu bankowego. Zawsze więc, gdy w celu wykonania przez podmiot zewnętrzny powierzonej mu w w/w trybie umowy dochodzi do przekazania przez Bank Dostawcy tajemnicy bankowej, będziemy mieli do czynienia z koniecznością jej zawarcia w formie umowy outsourcingowej. Dodatkowo, zgodnie z Wytycznymi EBA, do zawarcia umowy outsourcingu bankowego powinno dojść także wówczas, gdy Bank powierza podmiotowi zewnętrznemu realizację procesu, usługi lub zadania, które w przeciwnym razie mogłoby być realizowane samodzielnie przez Bank, z uwzględnieniem przedmiotowych i podmiotowych zwolnień określonych w samych Wytycznych EBA. Biorąc pod uwagę powyższe należy przyjąć, iż konieczność zawarcia przez Bank z podmiotem zewnętrznym umowy outsourcingu będzie miała miejsce zawsze, gdy zajdzie jedna z poniższych okoliczności:

1. w każdej sytuacji, w której dochodzi do powierzenia przez Bank podmiotowi zewnętrznemu czynności bankowych na zasadach określonych w ramach ustawy Prawo bankowe,
2. w każdej sytuacji, w której dochodzi do powierzenia przez Bank podmiotowi zewnętrznemu czynności faktycznej, tj. czynności związanych z działalnością bankową, a usługodawca, wykonując umowę, uzyskuje dostęp do danych objętych tajemnicą bankową (konsekwentnie można przyjąć, iż jeśli Bank powierzy przedsiębiorcy wykonanie czynności, w ramach których nie ma on dostępu do tajemnicy bankowej, trzeba będzie uznać, że taka usługa nie mieści się w ramach outsourcingu bankowego w rozumieniu ustawy Prawo Bankowe i nie będzie to w ogóle czynność faktyczna związana z działalnością bankową),
3. w przypadku zlecenia przez Bank podmiotowi zewnętrznemu wykonanie usługi lub zadania, które w przeciwnym razie mogłoby być realizowane samodzielnie przez Bank, z uwzględnieniem przedmiotowych i podmiotowych zwolnień określonych w Wytycznych EBA.

Czy w analizowanym przypadku zachodzi przynajmniej jedna z przedstawionych powyżej okoliczności definiujących konieczność zawarcia przez Bank z Dostawcą umowy outsourcingowej? Zweryfikujmy to zagadnienie. Z pewnością w ramach przedstawionego „case study” nie dochodzi do powierzenia przez Bank podmiotowi zewnętrznemu czynności bankowych na zasadach określonych w ramach ustawy Prawo bankowe. Stosunek prawny, jaki łączy Bank z Dostawcą nie opiera się na umowie agencyjnej, która polega na tym, że przedsiębiorca (Dostawca) działa w imieniu i na rzecz Banku. Dostawca nie wykonuje tutaj czynności pośrednictwa w zakresie czynności bankowych w rozumieniu art. 6a ust. pkt. 1 ustawy Prawo Bankowe. Po drugie, Bank powierza Dostawcy wykonanie czynności, w ramach których nie będzie on miał dostępu do informacji objętych tajemnicą bankową. Po trzecie, Bank nie zleca Dostawcy wykonanie usługi lub zadania, które w przeciwnym razie mógłby zrealizować samodzielnie w ramach posiadanych aktywów, w tym stosownej wiedzy (z uwzględnieniem przedmiotowych i podmiotowych zwolnień określonych w Wytycznych EBA). A to dlatego, że Bank samodzielnie nie będzie w stanie wykonać czynności zleconej Dostawcy, ponieważ wymaga ona specjalistycznej i niedostępnej Bankowi wiedzy. Zatem bez jej zlecenia, usługa ta w ogóle nie mogłaby być wdrożona przez Bank.

4. Konkluzje

Jak stwierdziliśmy powyżej, w analizowanym „case study” nie zachodzi konieczność podpisania przez Bank z Dostawcą umowy w formie outsourcingu bankowego. Co więcej, realizowana przez Dostawcę usługa nie będzie w ogóle czynnością faktyczną związaną z działalnością bankową. Czym więc będą informacje przekazywane przez Bank Dostawcy, aby mógł on wykonać przedmiot zlecenia? Obok wiadomości chronionych tajemnicą bankową, w bankowości istnieje wiele innych informacji niejawnych, których szczególny charakter wynika z woli samego Banku. W ten sposób Bank chroni, jak każde przedsiębiorstwo, szeroko pojęte dobro swoich klientów oraz dobro samego Banku. Takim dobrem będą na przykład wszystkie informacje objęte tajemnicą handlową lub informacje finansowe Banku, nie mające waloru informacji publicznej. I właśnie jako tak pojęte dobro należy zdefiniować posiadane przez Bank archiwalne i statystyczne dane dotyczące jego Klientów, pochodzące z byłych wniosków kredytowych, wewnętrznej bazy Banku oraz baz zewnętrznych (BIK, KRD), zebranych na moment analizowania wniosku kredytowego. Takie dobro z powodów oczywistych chronione będzie przez Bank przed ich ujawnieniem. Jednak w celu ich skutecznej ochrony, nie będzie konieczne zawieranie z Dostawcą umowy outsourcingowej, ale zwykłej umowy o zachowaniu poufności. Konsekwentnie – Bank nie będzie musiał zawierać z Dostawcą Umowy Powierzenia, ponieważ w ramach zakładanej współpracy Bank nie będzie przekazywał Dostawcy danych osobowych (przekazywane informacje nie spełniają przywołanej powyżej definicji „danych osobowych”).

Opracował

Arkadiusz Kraus

Zapewniamy zgodność z przepisami ochrony danych osobowych.

Jesteśmy też ekspertami w dziedzinie prawa pracy.

A2KP KANCELARIA Sp. z o.o.

43-300 Bielsko Biała,

ul Ulica Grażyńskiego 71