Sdělení ČNB o obecných pokynech EBA k outsourcingu

(EBA/GL/2019/02)

Dne 25. února 2019 vydal Evropský orgán pro bankovnictví (EBA) na základě zmocnění uvedeného v čl. 16 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví - EBA), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES - dále jen „nařízení o zřízení EBA“ – Obecné pokyny k outsourcingu (externí odkaz) (dále jen „pokyny“).

Podle čl. 16 odst. 3 nařízení o zřízení EBA musí příslušné orgány a dotčené finanční instituce vynaložit veškeré úsilí, aby se těmito obecnými pokyny řídily.

Pokyny jsou vydány ke směrnicím 2013/36/EU, 2015/2366 a 2009/110, které obsahují požadavky na řídicí a kontrolní systémy institucí dotčených těmito směrnicemi. Vycházejí z dříve vydaných pokynů Evropského výboru orgánů bankovního dohledu (CEBS) o outsourcingu (externím zajištění služeb) a doporučení EBA ohledně zajištění cloudových služeb u externích poskytovatelů (EBA/REC/2017/03). Obsahují  vodítka pro obezřetné využívání outsourcingu ve fázi přípravy, realizace i ukončení externího zajištění služeb a klíčové prvky řídicího a kontrolního systému při využívání outsourcingu (zásady pro outsourcing, řízení rizik  třetích stran, vnitřní kontrola, organizační a informační předpoklady, ochrana osobních údajů atd.). Pokyny shrnují klíčová obezřetnostní očekávání při využívání outsourcingu, včetně trvající odpovědnosti vedoucího orgánu instituce za řádný výkon jejích činností i v případě využívání outsourcingu a práva orgánu dohledu na relevantní informace a případný přístup k poskytovateli outsourcingu. Potvrzují také uplatňování zásady přiměřenosti. 

Pokyny jsou určeny příslušným orgánům podle čl. 4 odst. 1 bodu 40 nařízení (EU) č. 575/20135, institucím podle čl. 4 odst. 1 bodu 3 téhož nařízení, platebním institucím podle čl. 4 odst. 4 směrnice (EU) 2015/2366 a institucím elektronických peněz podle čl. 2 odst. 1 směrnice 2009/110/ES. Nevztahují se na poskytovatele služeb informování o účtu, kteří poskytují pouze službu uvedenou v bodě 8 přílohy I směrnice (EU) 2015/2366.

Plné znění Obecných pokynů k outsourcingu (externí odkaz, pouze v angličtině) zahrnuje rovněž prováděcí shrnutí, odůvodnění a doprovodné dokumenty (Executive Summary, Background and rationale, Accompanying documents).

Pokyny nabývají účinnosti dne 30. září 2019, s výjimkou přechodných ustanovení  vyplývajících z bodů 13 až 16 pokynů. Ke 30. září 2019 se zrušují obecné pokyny CEBS o outsourcingu ze dne 14. prosince 2006 a doporučení EBA ohledně zajištění cloudových služeb u externích poskytovatelů (EBA/REC/2017/03). ČNB oznámila v souladu s čl. 16 odst. 3 nařízení o zřízení EBA, že bude postupovat při výkonu dohledu v souladu s pokyny.