Cloud computing (ang. chmura obliczeniowa) to model przetwarzania danych oparty na użytkowaniu usług dostarczonych przez podmioty zewnętrzne. Polega on na dostarczaniu za pomocą sieci internetowej oprogramowania i infrastruktury niezbędnych dla wykonywania usług na rzecz klientów.
Pozwala to ograniczyć wydatki na zakup i obsługę w fizycznym świecie sprzętu. Stanowi zatem alternatywę umożliwiającą wykorzystanie potrzebnych elementów infrastruktury za pomocą szybkiego transferu danych w sieci.
Prawna regulacja tej formy outsourcingu w działalności firmy inwestycyjnej powinna zatem zostać gruntownie zbadana przez podmioty nawiązujące współpracę w zakresie „cloud computing” z firmą inwestycyjną.
Jakie typy usług
Wyróżnia się kilka rodzajów usług typu „cloud computing” i odpowiadających im umów regulujących prawa stron:
- „Infrastructure as a Service” (IaaS), w przypadku której korzystający uzyskuje np. moc obliczeniową serwerów, przestrzeń dysków do zapisywania danych,
- „Platform as a service” (PaaS), w którym korzysta się np. z bazy danych czy specjalistycznych serwerów stanowiących platformę do budowy własnego systemu,
- „Software as a Service” (SaaS), gdzie udostępnia się końcowe oprogramowanie, np. pocztę e-mail, aplikacje do komunikacji z klientem (CRM) czy zarządzania przedsiębiorstwem (ERP).
Systemy te, ze względu na brak konieczności ponoszenia kosztów zakupu i utrzymywania infrastruktury, zaczynają zyskiwać coraz więcej zwolenników, również w sektorze finansowym – w bankach i firmach inwestycyjnych. -
Przepisy te znajdują się w art. 81a – 81 g ustawy z 29 lipca 2005 o obrocie instrumentami finansowymi (tekst jedn. DzU z 2010 r. nr 211, poz. 1384 z późn. zm; dalej ustawa o obrocie). Zostały one dodane do ustawy o obrocie z 21 października 2009, gdy weszła w życie nowelizacja tej ustawy wprowadzająca przepisy dwóch dyrektyw:
- dyrektywy 2004/39/WE Parlamentu Europejskiego i Rady z 21 kwietnia 2004 w sprawie rynków instrumentów finansowych zmieniająca dyrektywę Rady 85/611/EWG i 93/6/EWG i dyrektywę 2000/12/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady 93/22/EWG oraz
- dyrektywy Komisji 2006/73/WE z 10 sierpnia 2006 wprowadzającej środki wykonawcze do dyrektywy 2004/39/WE Parlamentu Europejskiego i Rady w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez przedsiębiorstwa inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy.
Odpowiedzialność za szkody
Regulacja outsourcingu w ustawie o obrocie odwołuje się do zasady swobody korzystania z usług innych przedsiębiorców przez outsourcera (bank lub firmę inwestycyjną korzystającą z usług „cloud computing”), przy zachowaniu odpowiedzialności outsourcera wobec jego klientów za wyrządzone szkody oraz odpowiedzialności przedsiębiorcy w stosunku do outsourcera za wyrządzone mu szkody.
Obu tych rodzajów odpowiedzialności nie można wyłączyć lub ograniczyć. Ponadto ustawa o obrocie wymaga zapewnienia bieżącego nadzoru outsourcera nad przedsiębiorcą i dokonywania bieżącej oceny jakości wykonywania powierzonych czynności.
Co jest niedozwolone
Ustawa o obrocie wyłącza jednak dopuszczalność outsourcingu niektórych rodzajów działalności. Ograniczenie to dotyczy przekazania prowadzenia działalności maklerskiej w sposób powodujący brak faktycznego wykonywania danej czynności przez firmę inwestycyjną.
Podobnie niedozwolony jest outsourcing prowadzący do przekazania reprezentowania, prowadzenia spraw lub przekazania zarządzania firmą inwestycyjną w rozumieniu przepisów kodeksu spółek handlowych.
Niezbędne uprawnienia
Warunki zawarcia umowy outsourcingowej wskazane zostały w przepisie art. 81b ust. 1 pkt 1 – 10 ustawy o obrocie, w szczególności poprzez określenie wymogu, by przedsiębiorca, któremu powierzono czynności, miał uprawnienia do wykonywania czynności w zakresie przedmiotu umowy (jeżeli z przepisów prawa wynika obowiązek posiadania takich uprawnień) albo zajmował się wykonywaniem tych czynności w sposób zawodowy i miał niezbędną wiedzę, doświadczenie oraz zapewniał warunki techniczne i organizacyjne niezbędne do prawidłowego wykonania umowy, w tym znajdował się w sytuacji finansowej zapewniającej prawidłowe wykonanie tej umowy.
Niedozwolony jest outsourcing prowadzący do przekazania reprezentowania, prowadzenia spraw lub zarządzania firmą inwestycyjną w rozumieniu przepisów kodeksu spółek handlowych
Ponadto powierzenie wykonywania czynności nie może niekorzystnie wpłynąć na prowadzenie przez firmę inwestycyjną działalności zgodnie z przepisami prawa, a także na ostrożne i stabilne zarządzanie firmą, skuteczność systemu kontroli wewnętrznej oraz ochronę tajemnicy zawodowej lub innej informacji prawnie chronionej oraz informacji poufnej.
Wymogi te nie dotyczą tzw. outsourcingu nieistotnego, tj. zgodnie z brzmieniem przepisu art. 81f ust. 1 ustawy o obrocie, dotyczącego czynności niemających istotnego znaczenia dla prawidłowego wykonywania przez firmę inwestycyjną obowiązków określonych w przepisach prawa, sytuacji finansowej firmy, ciągłości lub stabilności prowadzenia działalności maklerskiej przez firmę.
Ustawa o obrocie przykładowo wymienia, że z outsourcingiem nieistotnym mamy do czynienia w przypadku świadczenia na rzecz firmy inwestycyjnej usług doradztwa prawnego, szkolenia pracowników, prowadzenia ksiąg rachunkowych, ochrony osób lub mienia, usług wystandaryzowanych, w tym usług polegających na dostarczaniu informacji rynkowych lub informacji o notowaniach instrumentów finansowych.
Podwójna regulacja
O ile możliwość korzystania z „cloud computing” napotyka trudności w przypadku firm inwestycyjnych, to szczególne problemy dotyczą banków.
Do 21 października 2009, tj. do czasu wejścia w życie przepisów art. 81a – 81g ustawy o obrocie, outsourcing bankowy regulowany był przepisami art. 6a – 6d ustawy z 29 sierpnia 1997 Prawo bankowe (tekst jedn. DzU z 2002 r. nr 72, poz. 665 z późn. zm.; dalej prawo bankowe). Od chwili wprowadzenia nowych regulacji w ustawie o obrocie bank musi stosować przepisy obu ustaw.
W praktyce problem polega na wskazaniu, w których przypadkach bank ma stosować się do przepisów ustawy o obrocie, a kiedy do prawa bankowego. Działalność banku może bowiem w niektórych sytuacjach mieć charakter taki jak działalność maklerska, np. wtedy, gdy bank przyjmuje i przekazuje zlecenia nabycia lub zbycia instrumentów finansowych, oferuje instrumenty finansowe dopuszczone do obrotu zorganizowanego.
W takim wypadku uznaje się, że bank będzie zobowiązany do stosowania w zakresie outsourcingu przepisów ustawy o obrocie, a nie przepisów prawa bankowego.
Często jednak usługa świadczona przez bank dotyczy zarówno działalności banku, mającej charakter opisany w art. 69 ustawy o obrocie (działalności maklerskiej), jak i działalności innej, np. w sytuacji zlecenia usług z zakresu utrzymania systemu informatycznego, wykorzystywanego przez klientów banku zarówno do dokonywania operacji na instrumentach finansowych, jak i zakładania depozytów.
W tego typu przypadkach trudno jest ustalić, do jakiej części działalności bank powinien stosować ustawę o obrocie, a kiedy regulacje prawa bankowego.
Komentuje Piotr Michał Kosmędaradca prawny w Kancelarii Spaczyński, Szczepaniak i Wspólnicy sp.k.
Czy przedsiębiorcy mogą zatem spodziewać się zmian, które ujednoliciłyby opisane regulacje? Prawdopodobnie nie, bo Komisja Nadzoru Finansowego stoi na stanowisku, że nie jest zasadne przyjęcie jednakowego podejścia do zagadnienia outsourcingu na gruncie obu ustaw.
Wedle KNF odmienne są bowiem zakresy działalności w wymienionych segmentach, tj. na rynku bankowym i kapitałowym, oraz potencjalne skutki związane z ryzykiem operacyjnym między firmą inwestycyjną a bankiem.
Z tej przyczyny przy okazji ostatniej nowelizacji prawa bankowego nie dokonano zmian, które mogłyby ograniczyć istniejące wątpliwości. W tej sytuacji współpraca w zakresie cloud computingu z bankami obarczona będzie nadal dodatkowym ryzykiem prawnym, co stawia pod znakiem zapytania dalszy rozwój tego typu usług.
