Об аутсорсинге в финансовых компаниях. Чего ожидать и чего бояться? Как IT-бизнесу работать с банковской тайной? Часть 5
В этой статье расскажем о том, что такое аутсорсинг, и как он реализуется в банковском секторе для обработки банковской тайны.
Статью подготовили:
Содержание:
Договор аутсорсинга. Основы
В Гражданском Кодексе вы не встретите такого термина как «аутсорсинг», и законодательно договор аутсорсинга никак не закреплен, поэтому для определения предмета данного договора нам приходится руководствоваться судебной практикой и научными трудами.
Одни авторы считают, что договор аутсорсинга можно определить как соглашение, по которому одна сторона передает свои функции или бизнес-процессы другой стороне за вознаграждение, чтобы та помогала в производственном процессе, управлении или выполнении других задач, связанных с производством и реализацией товаров заказчика. Другие считают, что передаваться может не любая функция, а только та, которая является непрофильной, например, не входящая в перечень кодов ОКВЭД юридического лица. В этой связи довольно популярными являются бухгалтерские услуги по договору аутсорсинга.
Договор аутсорсинга часто квалифицируется судами как договор возмездного оказания услуг. Однако существуют определенные риски, связанные с функцией, выполняемой по этому договору. Некоторые ученые высказывают опасения о том, что договор аутсорсинга может быть смешанным и содержать элементы трудового договора. Такой риск возникает в случае, если функция аутсорсинга выполняется на протяжении длительного времени. Тогда это влечет за собой нарушение трудового законодательства, за что предусмотрена административная ответственность. Но и это не единственный риск.
На практике такой договор используется для получения необоснованной налоговой выгоды. Суды принимают во внимание, что такая конструкция может быть нелегальна с точки зрения налогового законодательства, поскольку присутствует фактор несоответствия разумным экономическим или иным причинам (целям делового характера). Таким образом, заказчик должен быть готовым доказать, что среди целей перехода на аутсорсинг нет уклонения от налогов и признаков дробления бизнеса.
Что такое аутсорсинг в кредитных организациях?
Аутсорсинг – это передача кредитной организацией своей бизнес-функции на длительный срок другой организации. О каких бизнес-функциях идет речь? О тех, которые необходимы в деятельности кредитной организации на обычных условиях, и выполнялись бы ей самостоятельно без привлечения стороннего поставщика.
Отличительными характеристиками аутсорсинга являются:
– передача полностью выполнения бизнес-функций поставщику услуг без участия в реализации указанных бизнес-функций работников банка;
– передача поставщику услуг выполнения бизнес-функций на постоянной (непрерывной) основе на длительный период времени (например, не менее 1 года).
Поставщиком услуг может выступать как аффилированное в пределах банковской группы юридическое лицо, так и юридическое лицо, которое является внешним по отношению к банковской группе, и привлекаемое для выполнения на постоянной (непрерывной) основе определенных бизнес-функций кредитной организации, выполнение которых в обычных условиях (без привлечения поставщика услуг) осуществлялось бы организацией банковской системы Российской Федерации самостоятельно.
В случае планирования передачи выполнения бизнес-функций поставщикам услуг на аутсорсинг кредитная организация должна установить политику в отношении аутсорсинга существенных функций (далее – политика аутсорсинга), которая определяет возможность аутсорсинга только в случае:
– соблюдения требований законодательства РФ в области обработки персональных данных и информации, составляющей банковскую тайну, в частности возможность аутсорсинга в случае надлежащего получения согласия субъектов персональных данных;
– реализации кредитной организацией надлежащего управления риском нарушения информационной безопасности и контроля над ним.
Важно учитывать, что наличие и использование ограниченного числа поставщиков услуг, предоставляющих услуги аутсорсинга многим кредитным организациям, реализует концентрацию операционного риска, что является системной угрозой для банковской системы в целом.
Поэтому для своевременного выявления концентрации риска, связанного с передачей многими организациями банковской системы выполнения существенных бизнес-функций ограниченной группе поставщиков услуг, Банк России рекомендует уведомлять ФинЦЕРТ Банка России об этом.
Стандарт Банка России СТО БР ИББС-1.4-2018 по факту позволяет передавать на аутсорсинг поставщикам услуг (т.е. третьим лицам) информацию, относящуюся к банковской тайне, несмотря на то, что при аутсорсинге возникает риск бесконтрольного несанкционированного доступа к защищаемой информации лиц, не являющихся работниками банка, а также риск несоблюдения требований законодательства РФ в части обеспечения режима защиты банковской тайны.
Для предотвращения этого Стандарт рекомендует финансовым организациям применять организационные меры и технические средства, реализующие контроль доступа работников поставщика услуг и иных лиц к защищаемой информации, а также обрабатывающим её информационным системам. По логике Банка России, если будут предприняты меры, делающие доступ поставщика услуг к сведениям, составляющим банковскую тайну, технически и организационно невозможным, «передача» таких сведений поставщику не происходит.
Условия передачи банковской тайны на аутсорсинг
Итак, сведения, относящиеся к банковской тайне, могут быть переданы на аутсорсинг, если:
- кредитная организация сохраняет контроль за соответствующей инфраструктурой поставщика;
- у поставщика аутсорсинговых услуг отсутствует возможность доступа к сведениям, составляющим банковскую тайну. Таким образом, в результате такой передачи «разглашения» банковской тайны «третьему лицу» не происходит.
Подтверждением данной точки зрения являются следующее:
- согласно Стандарту передача на аутсорсинг существенных функций ИБ не рассматривается как раскрытие банковской тайны третьим лицам;
- существующая практика передачи банками на аутсорсинг Автоматизированных банковских систем, обрабатывающих банковскую тайну, не рассматривается как раскрытие банковской тайны третьим лицам. В таком случае отсутствуют факты привлечения банков и (или) их сотрудников к ответственности по ст. 183 УК РФ и ст. 857 ГК РФ (возмещение убытков) за разглашение банковской тайны при ее передаче провайдерам аутсорсинговых услуг.
В таблице ниже мы указали, чем отличается работа с данным на аутсорсинге от передачи банковской тайны.
С точки зрения закона, практика передачи банками на аутсорсинг сведений, относящихся к банковской тайне, противоречит действующему законодательству (ст. 857 ГК РФ и ст. 26 Закона «О банках и банковской деятельности», ст. 26 Закона «О национальной платежной системе»), так как положения Стандарта по сути устанавливают возможность доступа третьим лицам, которые в законе не указаны. Данное противоречие может быть преодолено только внесением изменений в законодательство РФ.
Новое в законодательстве в области аутсорсинга финансовых услуг
Новый закон об аутсорсе в сегодняшней редакции не смягчает риски, связанные с обработкой персональных данных. Положения ФЗ «О персональных данных» будут в равной мере действовать в том числе в случае передачи «отдельной» бизнес функции по стандарту Банка России «Об аутсорсинге».
Что касается информации составляющей банковскую тайну, то банки в любом случае должны соблюдать ее конфиденциальность. Для ее передачи банк должен иметь явное согласие своего клиента. При этом при передаче бизнес функции на аутсорсинг банк должен в соответствующем договоре определить вопросы, касающиеся обеспечения конфиденциальности такой информации. В случае, если организация принимающая на себя определенные бизнес функции, переданные вместе с информацией содержащей банковскую тайну, не будет предпринимать меры по их защите, то возникают риски административной ответственности, а в некоторых случаях и уголовной, даже если в договоре будут предусмотрены определенные меры по разграничению компетенций по защите данных.
Поэтому при заключении соглашения с поставщиками услуг на осуществление аутсорсинга существенных функций кредитной организации следует обеспечить наличие следующих условий по обеспечению информационной безопасности, которые предусматриваются Стандартом Банка России:
– обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для кредитной организации, в том числе требований, установленных в рамках законодательства о национальной платежной системе, а также в области защиты персональных данных;
– составление перечня защищаемой информации, передаваемой на обработку и (или) хранение поставщику услуг;
– разграничение ответственности между кредитной организацией и поставщиком услуг в части обеспечения ИБ;
– наличие у поставщика услуг лицензий по оказываемым видам деятельности в соответствии с законодательством о лицензировании отдельных видов деятельности;
– наличие у поставщика услуг, связанных с обработкой данных платежных карт, свидетельства о соответствии требованиям стандарта PCI DSS;
– сохранение права кредитной организации на контроль выполнения самостоятельно или с привлечением внешнего аудитора, условий соглашения в части выполнения обязанностей по обеспечению ИБ, соблюдение порядка и (или) процедуры выполнения указанного контроля;
– обязанность поставщиков услуг уведомлять кредитную организацию об инцидентах, связанных с обеспечением ИБ, соблюдение порядка и (или) процедуры выполнения указанного уведомления.
Иными словами, действующий Стандарт регулирует вопрос «обработки банковской тайны» только в части своих полномочий, и фактически он уже не отвечает текущей ситуаций с аутсорсингом и конфиденциальностью. Поэтому в новом законопроекте (№ 404786-8) предлагается в том числе установить:
– обязанность поставщиков услуг и их должностных лиц соблюдать конфиденциальность информации, получаемой ими при осуществлении услуг аутсорсинга;
– в случае несоблюдения поставщиками услуг и их должностными лицами требований к обеспечению конфиденциальности, они несут ответственность в соответствии с законодательством РФ и договором.
Выводы
Договор аутсорсинга является довольно сложным решением для обеспечения обработки банковской тайны, поскольку кроме рисков нарушения банковского законодательства, к ним плюсуются риски нарушения трудового и налогового законодательства. Тем не менее аутсорсинг является надежным механизмом взаимодействия двух субъектов гражданского оборота. Что важно отразить в договоре аутсорсинга:
- Предмет договора о передаче отдельной бизнес-функции;
- Срок исполнения договора;
- Ответственность сторон (включая обеспечения информационной безопасности конфиденциальной информации);
- Условие о качестве услуг;
- Обоснование бизнес цели заключения договора.
Таким образом, договор аутсорсинга может быть использован компанией для обработки информации, составляющей банковскую тайну. Такой договор особенно будет актуален IT-компаниям, занимающимся разработкой. В контексте же финансовых услуг этот договор актуален IT-компаниям, предоставляющим услуги скоринга и другие финансовые продукты, позволяющие улучшать бизнес-процессы банка.
Если у вас остались вопросы, вы можете обратиться к нам: +7 (969) 790-00-90, написать в телеграм @aglrequest или по электронной почте info@ag-legal.ru. Или задать их в комментариях под статьей.
Также подписывайтесь на наш канал, где мы отслеживаем новости права для ИТ-компаний.