8 lipca 2025 r. Europejski Urząd Nadzoru Bankowego (“EBA”) opublikował projekt nowych wytycznych dotyczących zarządzania ryzykiem związanym z podmiotami trzecimi (“Projekt Wytycznych" lub “Projekt”).
Konsultacje zakończyły się 8 października i obecnie trwa przygotowywanie finalnej wersji dokumentu. Jak wynika z najnowszych analiz EBA, w tym raportu dot. whitelabellingu, dotychczasowe wytyczne outsourcingowe są przebudowywane tak, aby objąć szerszy (niż tylko outsourcing) zakres relacji z dostawcami - stąd planowana zmiana nazwy dokumentu na Wytyczne dotyczące właściwego zarządzania ryzykiem związanym z podmiotami trzecimi (third-party arrangements, “TPA”). Nowe wytyczne EBA mają doprowadzić do pełniejszej harmonizacji zasad współpracy instytucji finansowych z podmiotami zewnętrznymi.
Choć dokument nie został jeszcze ostatecznie przyjęty, już na tym etapie widać, że nowe wytyczne w dużej mierze opierają się na dotychczasowych rozwiązaniach znanych z tzw. “procesów outsourcingu”, poszerzając jednak istotnie zakres przedmiotowy umów, które byłyby objęte doskonale znanym na rynku bankowym i płatniczym obowiązkom takich jak ocena ryzyka, ocena krytyczności czy due diligence dostawcy.
W tym kontekście, szczególnie istotna staje się kwestia zakresu umów, które w świetle Projektu mają być traktowane jako “relacje z podmiotami trzecimi” (TPA) - pojęcie szersze, niż rozumiany w dotychczasowy sposób “outsourcing regulowany”, obejmujące np. umowy HR czy umowy archiwizacji dokumentów bez dostępu do tajemnicy bankowej - a które podlegałyby de facto identycznemu zakresowi obowiązków, jak dotychczasowe umowy outsourcingowe. To właśnie ta zmiana powoduje najwięcej wątpliwości praktycznych.
Niniejszy artykuł otwiera cykl materiałów poświęconych praktycznym skutkom Projektu Wytycznych dla banków, instytucji płatniczych i innych uczestników rynku finansowego. W ramach pierwszego artykułu, przybliżamy trzy kluczowe zagadnienia: nową definicję relacji z podmiotem trzecim i trudności interpretacyjne związane z tą definicją, problem nakładania się trzech reżimów regulacyjnych: TPA, DORA i powierzenia, oraz zmiany w zakresie oceny funkcji krytycznej lub istotnej.
Gdzie zaczyna się umowa TPA? Największe pułapki interpretacyjne
Projekt wprowadza szeroką definicję relacji z podmiotem trzecim, obejmującą praktycznie każde porozumienie, także w ramach grupy, dotyczące wykonywania funkcji instytucji finansowej, które może mieć istotny wpływ na ryzyko lub odporność operacyjną instytucji finansowej.
W takich warunkach, kluczowe znaczenie ma starannie przygotowana ocena wstępna, pozwalająca odróżnić umowę będącą TPA, od klasycznej umowy outsourcingowej, a także umowy podlegającej pod DORA. To ona pozwoli określić, czy dana umowa powinna zostać potraktowana jako relacja objęta zakresem stosowania Projektu.
W przeciwnym razie, istnieje ryzyko objęcia reżimem TPA umów o charakterze pomocniczym, które dotąd nie były uznawane za regulowane i znacznego rozszerzenia katalogu umów objętych analizą i nadzorem regulacyjnym właściwych jednostek merytorycznych.
Zmianę podejścia pogłębia Załącznik I do wytycznych. Zawiera on szeroki katalog funkcji, które wcześniej nie były kojarzone z outsourcingiem, takich jak usługi marketingowe, organizacja podróży czy obsługa korespondencji oraz usługi typu HR. W ramach procesu oceny wstępnej, należy uwzględnić treść przytoczonego załącznika, co jeszcze bardziej podkreśla konieczność wprowadzenia ustrukturyzowanego procesu oceny wstępnej, pozwalającego odróżnić umowy nie stanowiące TPA od umów objętych wymogami wynikającymi z Wytycznych EBA.
Włączenie umów wskazanych w treści załącznika do reżimu TPA istotnie poszerza zakres nadzoru, jednocześnie nie wskazując jednoznacznych kryteriów oceny ryzyka operacyjnego, które mogłyby pozwolić na wyłączenie niektórych umów spod nowych obowiązków. Kryteria te powinny zostać wypracowane w oparciu o m.in. dotychczasową praktykę oceny ryzyka operacyjnego na podstawie DORA. Jednocześnie, dopóki EBA nie doprecyzuje sposobu rozumienia ryzyka operacyjnego, który determinuje kwalifikację danej umowy jako TPA lub umowę poza zakresem TPA, instytucje muszą zachować ostrożność i liczyć się z koniecznością ponownego uporządkowania procesu kwalifikacji umów, po publikacji finalnej wersji Projektu.
W oparciu o dotychczasową praktykę w zakresie kwalifikacji umów na gruncie Wytycznych EBA w sprawie outsourcingu, przepisów dotyczących powierzenia przetwarzania z Prawa bankowego, regulacji ICT w ramach DORA oraz oceny usług opartych na sztucznej inteligencji zgodnie z AI Act, prawnicy PwC Legal przygotowali wstępną metodykę oceny dla banków oraz instytucji płatniczych.
Jej celem jest zapewnienie spójnego, przekrojowego podejścia do klasyfikacji usług i umów, uwzględniającego zarówno dotychczasowe standardy nadzorcze, jak i nowe obowiązki wynikające z regulacji horyzontalnych i sektorowych.
Granice między TPA, outsourcingiem i DORA: czy ten podział ma jeszcze sens?
Po analizie definicji TPA można zauważyć, że relacje TPA tworzą najszerszą kategorię, węższą kategorię stanowią umowy outsourcingowe, a najwęższą — usługi ICT objęte przepisami DORA.
W teorii, taki podział sugeruje, że do każdej kategorii należałoby stosować odrębny zestaw obowiązków. Do relacji TPA – nowe wytyczne TPA; do outsourcingu – wytyczne TPA wraz z krajowymi przepisami dotyczącymi powierzenia; do usług ICT – przede wszystkim regulacje DORA.
W praktyce jednak ten podział może okazać się trudny do zastosowania. Część umów, które teoretycznie można by uznać za „TPA‑only”, może w rzeczywistości wymagać stosowania podobnych zasad jak outsourcing. Wiele wskazuje na to, że różnice między tymi kategoriami będą niewielkie, a instytucje mogą dążyć do ujednolicenia podejścia, aby uprościć swoje procesy, w szczególności w kontekście procesów oceny ryzyka czy przygotowania wzorcowych klauzul umownych i ich praktycznego stosowania w ramach procesów remediacji umów. Ostateczna odpowiedź będzie zależała od brzmienia finalnych wytycznych EBA, które dopiero przesądzą, czy klasa umów „TPA‑only” będzie miała znaczenie praktyczne.
Nakładanie się obowiązków wynikających z różnych przepisów powoduje realne ryzyko powstawania niespójnych zapisów umownych oraz wzrost kosztów zgodności. Brak przejrzystych zasad pierwszeństwa pomiędzy poszczególnymi reżimami sprawia, że każde odstępstwo od standardowego modelu współpracy wymaga indywidualnej analizy i ostrożnego podejścia, co istotnie obciąża instytucje finansowe.
Prawnicy PwC Legal przygotowali model, który pozwala uporządkować sposób kwalifikowania umów do trzech współistniejących porządków prawnych. Dzięki temu możliwe jest stosowanie spójnych standardów umownych, jednoznacznych kryteriów oceny oraz jasnego podziału obowiązków regulacyjnych.
Jak rozpoznać funkcję krytyczną? Nowe wymogi i ich konsekwencje
W dotychczasowej praktyce ocena krytyczności pod Wytycznymi EBA ws. outsourcingu opierała się przede wszystkim na przesłankach wskazanych w sekcji 4 Wytycznych EBA z 2019 r.
Obecnie — co potwierdza projekt nowych Wytycznych EBA dotyczących podmiotów trzecich — logika oceny krytyczności została zmieniona i w wielu aspektach nawiązuje do przyjętej w DORA metodyki.
Nowe kryteria uwzględniają już nie tylko klasyczne ryzyka operacyjne i wpływ na autoryzację, ale także odporność operacyjną, ryzyko prawne, wizerunkowe, środowiskowe, a także całokształt istotnych ryzyk, co istotnie koresponduje z definicją „critical or important function” z art. 3 pkt 22 DORA. Tak zdefiniowane kryteria są bardziej złożone i przypominają podejście znane z DORA. W praktyce oznacza to konieczność ponownej weryfikacji dotychczasowych ocen krytyczności oraz dostosowania ich do nowych wymogów – albo poprzez jednorazowy przegląd, albo w ramach cyklicznego monitorowania.
Nowe wytyczne EBA w istotny sposób zmieniają podejście do zarządzania relacjami z podmiotami trzecimi. Szersza definicja TPA oraz konieczność pogodzenia wymagań wynikających z trzech reżimów – TPA, outsourcingu i DORA – oznaczają, że instytucje finansowe będą musiały na nowo uporządkować sposób klasyfikowania i nadzorowania swoich umów. Już na tym etapie widać, że dotychczasowe, stosunkowo stabilne zasady relacji z dostawcami nie będą wystarczające, a procesy wewnętrzne będą wymagały aktualizacji i większej spójności.
Odpowiedź na wiele praktycznych pytań – m.in. zakres wyłączeń czy zasady stosowania nowych kryteriów ryzyka operacyjnego – przyniesie dopiero finalna wersja wytycznych. Instytucje finansowe powinny jednak już teraz rozpocząć przygotowania, szczególnie w obszarze oceny wstępnej, kwalifikacji umów oraz przeglądu funkcji istotnych i krytycznych. Z perspektywy biznesowej kluczowe jest, aby organizacja odpowiednio wcześnie dostosowała istniejące umowy do nowych wymogów oraz zapewniła pełną zgodność nowo zawieranych umów od pierwszego dnia obowiązywania wytycznych — to realnie wpływa na ciągłość współpracy z dostawcami i stabilność operacyjną. W praktyce oznacza to, że publikacja Projektu powinna zostać potraktowana jako sygnał do natychmiastowego startu prac wdrożeniowych, tak aby uniknąć przestojów, nadmiernych kosztów i potencjalnych blokad w procesach zakupowych.
Niniejszy artykuł stanowi pierwszą część cyklu poświęconego zmianom wprowadzanym przez nowe wytyczne EBA. W kolejnych materiałach przeanalizujemy praktyczne przykłady kwalifikacji umów, omówimy narzędzia ułatwiające wdrożenie nowych wymogów oraz przedstawimy nasze obserwacje dotyczące najważniejszych aspektów dotyczących zarządzania relacjami z dostawcami w zmieniającym się otoczeniu regulacyjnym.
Zapisz się na newsletter: Prawo
Skontaktuj się z nami
Łukasz Łyczko
Jakub Derulski
Paulina Zboińska
