en en

Podmienka L - Organizačná štruktúra a organizačný poriadok žiadateľa, opis externého vykonávania činností (outsourcing) a opis riadenia externého IKT rizika

Vysvetlivky

Žiadateľ o udelenie povolenia na poskytovanie platobných služieb musí preukázať svoju organizačnú pripravenosť na výkon činnosti platobnej inštitúcie, ktorá predpokladá vnútornú organizačnú štruktúru s osobami zodpovednými za riadenie, prevádzku a kontrolu platobnej inštitúcie ako aj vonkajšiu štruktúru s prípadným zriadením pobočiek, agentov platobných služieb, osôb, ktorým bol zverený výkon iných prevádzkových činností (outsourcing) a osôb, s ktorými bolo uzavreté zmluvné dojednanie o využívaní IKT služieb poskytované externými poskytovateľmi IKT služieb. Žiadateľ o udelenie povolenia musí opísať budúce postavenie platobnej inštitúcie v infraštruktúre platobného systému. Žiadateľ predloží uzatvorené platné zmluvy a návrhy zmlúv o zamýšľanom outsourcingu alebo zmluvnom dojednaní s externým poskytovateľom IKT služieb.

Zverené prevádzkové činnosti (outsourcing) sú činnosti, ktoré súvisia s poskytovaním platobných služieb platobnou inštitúciou a ich výkon je zverený inej osobe (§ 73 ZoPS, Usmernenia EBA k outsourcingu).

Zmluvné dojednanie s externým poskytovateľom IKT služieb sa týka digitálnych a dátových služieb poskytovaných prostredníctvom IKT systémov priebežne, vrátane hardvéru ako služby a hardvérových služieb zahŕňajú aj poskytovanie technickej podpory prostredníctvom aktualizácií softvéru alebo firmvéru poskytovateľom hardvéru s výnimkou tradičných analógových telefónnych služieb (kapitola V nariadenia DORA, RTS zmluvné dojednania, ITS ROI).

Predmetom outsourcingu ani zmluvného dojednania s externým poskytovateľom IKT služieb nemôže byť výkon činností, ktoré sú predmetom povolenia.

  • Právny základ
    • § 64 ods. 2 písm. l) ZoPS
    • § 64 ods. 4 písm. f) a k) ZoPS
    • čl. 5 ods. 1 písm. l) Smernice PSD 2
    • Usmernenie 5, časť 4.1, Usmernenie EBA povoľovacie
    • Usmernenia EBA k outsourcingu
    • Nariadenie DORA
    • RTS zmluvné dojednania
    • ITS ROI
    • Nariadenie č. 2023/1113
    • Usmernenie EBA/GL/2024/14
    • Usmernenie EBA/GL/2024/15

Prílohy

PRÍLOHA L1

Žiadateľ predloží:

  1. podrobnú organizačnú  štruktúru, znázorňujúcu každú divíziu, oddelenie alebo podobnú štrukturálne oddelenú časť, vrátane mien členov štatutárneho orgánu, dozornej rady a vedúcich zamestnancov v priamej riadiacej pôsobnosti štatutárneho orgánu, predovšetkým tých, ktorí sú poverení funkciami vnútornej kontroly, riadenia rizík, ochrany pred legalizáciou príjmov z trestnej činnosti a financovania terorizmu (určená osoba)
  2. organizačný poriadok, ktorý bude obsahovať opis funkcií a povinností každej divízie, oddelenia alebo podobnej štrukturálne oddelenej časti

Vysvetlivky:

1. Podľa § 2 ods. 34 ZoPS vedúcim zamestnancom poskytovateľa platobných služieb, prevádzkovateľa platobného systému a vydavateľa elektronických peňazí sa na účely tohto zákona rozumie zamestnanec v priamej riadiacej pôsobnosti štatutárneho orgánu.

Takýmito zamestnancami sú najmä:

  • vedúci zamestnanec zodpovedný za výkon vnútornej kontroly,
  • vedúci zamestnanec zodpovedný za dodržiavanie predpisov týkajúcich sa ochrany pred legalizáciou príjmov z trestnej činnosti a financovania terorizmu.

Pri týchto vedúcich zamestnancoch posudzuje Národná banka Slovenska ich odbornú spôsobilosť a dôveryhodnosť.

Ak bude iný vedúci zamestnanec zaradený v priamej riadiacej pôsobnosti štatutárneho orgánu, bude Národná banka Slovenska takisto posudzovať odbornú spôsobilosť a dôveryhodnosť uvedenej osoby v súlade s podmienkou N tohto Licenčného nástroja.

2. Organizačná štruktúra a organizačný poriadok tiež zahŕňa osoby zodpovedné za výkon funkcií v zmysle nariadenia DORA, spolu s uvedením ich mien v organizačnej štruktúre a popisom ich povinností a zodpovedností v organizačnom poriadku.

Takýmito osobami sú:

  • osoby zodpovedné za IKT riziko (okrem mikropodnikov):
    1. zamestnanec zodpovedný za výkon funkcie riadenia rizík – napr. IKT risk manažér,
    2. osoba zodpovedná za dozor nad riadením IKT rámca – napr. vedúci vnútornej kontroly,
    3. osoba zodpovedná za stanovenie rámca IKT – napr. člen štatutárneho orgánu,
  • osoba zodpovedná za monitorovanie dojednaní o využívaní IKT služieb uzavretých s externými poskytovateľmi IKT služieb – napr. osoba zodpovedná za outsourcing alebo člen štatutárneho orgánu,
  • osoba zodpovedná za vykonávanie komunikačnej stratégie pre incidenty súvisiace s IKT a styk s verejnosťou a médiami,
  • osoba zodpovedná za krízové riadenie (okrem mikropodnikov) – napr. IKT risk manažér.

V prípade, ak by osoba zodpovedná za výkon funkcií podľa nariadenia DORA bola zaradená v priamej riadiacej pôsobnosti štatutárneho orgánu, bude posudzovaná ako vedúci zamestnanec (Národná banka Slovenska bude posudzovať odbornú spôsobilosť a dôveryhodnosť uvedenej osoby v súlade s podmienkou N tohto Licenčného nástroja).

3. V zmysle Usmernenia EBA/GL/2024/14 a Usmernenia EBA/GL/2024/15, majú platobné inštitúcie povinnosť menovať vedúceho zamestnanca povereného dodržiavaním reštriktívnych opatrení. Táto funkcia môže byť, pri splnení určených podmienok, kumulovaná napr. s funkciou vedúceho zamestnanca zodpovedného za dodržiavanie predpisov týkajúcich sa ochrany pred legalizáciou príjmov z trestnej činnosti a financovania terorizmu alebo s funkciou hlavného pracovníka zodpovedného za dodržiavanie súladu s právnymi predpismi (chief compliance officer).

V prípade, ak bude vedúci zamestnanec v priamej riadiacej pôsobnosti štatutárneho orgánu, bude Národná banka Slovenska posudzovať jeho odbornú spôsobilosť a dôveryhodnosť.

PRÍLOHA L2

celkového odhadu počtu zamestnancov na nasledujúce tri roky

PRÍLOHA L3

Žiadateľ predloží podrobný opis zverenia výkonu prevádzkových činností tretej osobe (opis outsourcingu), ak plánuje zverenie prevádzkových činností, a to vo forme politiky outsourcingu.

Politika outsourcingu by mala obsahovať najmä hlavné fázy životného cyklu mechanizmov outsourcingu, zásady, povinnosti a postupy v súvislosti s outsourcingom, ako aj popis vykonanej analýzy pred outsourcingom.

Súčasťou opisu politiky outsourcingu musí byť aj zoznam činností a subjektov, ktorým má byť výkon prevádzkových činností zverený, prehľadný zoznam opisu prevádzkových zmlúv o externom vykonávaní činností a návrhy zmlúv o zverení výkonu prevádzkových činností. Súčasťou opisu musí byť tiež návrh písomnej politiky outsourcingu s náležitosťami ustanovenými v bode 7 v Usmernení EBA k outsourcingu a vykonanie analýzy pred zverením prevádzkových činností s náležitosťami ustanovenými v bode 12 v Usmernení EBA k outsourcingu. Pri nastavovaní činnosti žiadateľa je potrebné dbať na to, aby zverením prevádzkových činností nedošlo k tomu, že by žiadateľ fungoval ako „prázdna schránka“, ktorá sama žiadnu činnosť nevykonáva. Za týmto účelom by mal žiadateľ vždy zachovávať dostatočnú štruktúru v súlade s bodom 6 odsek 39 v Usmernení EBA k outsourcingu

Politika outsourcingu zahŕňa najmä:

posúdenie mechanizmov outsourcingu s tretími stranami

plány na zabezpečenie kontinuity

register informácií (prehľadný opis prevádzkových zmlúv)

  • obsahuje aspoň informácie ustanovené v bode 11 EBA GL o outsourcingu

stratégia ukončenia angažovanosti

PRÍLOHA L4

Politika využívania IKT služieb podporujúcich kritické alebo dôležité funkcie poskytované externými poskytovateľmi IKT služieb je súčasťou stratégie týkajúcej sa externého IKT rizika ako súčasť rámca riadenia IKT rizika žiadateľa. Žiadateľ vypracuje a predloží kľúčové zásady riadenia externého IKT rizika podľa ustanovení nariadenia DORA (kapitola V).

Obsah politiky v súvislosti so zmluvnými dojednaniami podporujúcich kritické alebo dôležité funkcie poskytované externými poskytovateľmi IKT služieb je upravený v RTS zmluvné dojednania.

Všetky zmluvné dojednania musia byť náležite zdokumentované v registri informácií (tzv. ROI). Žiadateľ predloží popis, ako vedie a aktualizuje register informácií na úrovni subjektu, tiež na subkonsolidovanej a konsolidovanej úrovni, ak je to preň relevantné. Požiadavky a obsah registra informácií sú špecifikované v ITS ROI.

PRÍLOHA L5

Žiadateľ predloží v samostatných prílohách:

L5.A
Návrhy zmlúv o externom vykonávaní činností s náležitosťami ustanovenými v bode 13 EBA GL o outsourcingu, príp. ustanovenia o prenose outsourcingu v zmysle bodu 13.1 EBA GL o outsourcingu, ak uvažuje o zverení výkonu prevádzkových činností tretej osobe

L5.B
Návrhy zmlúv o externom vykonávaní činností prostredníctvom zmluvných dojednaní o využívaní IKT služieb podľa nariadenia DORA a RTS zmluvné dojednania, ak uvažuje o uzatvorení zmluvného dojednania s externým poskytovateľom IKT služieb

L5.C
Uzatvorené platné zmluvy o externom vykonávaní činností s náležitosťami ustanovenými v bode 13 EBA GL o outsourcingu, príp. ustanovenia o prenose outsourcingu v zmysle bodu 13.1 EBA GL o outsourcingu, ktoré sa týkajú poskytovania platobnej služby

L5.D
Uzatvorené zmluvné dojednania s externými poskytovateľmi IKT služieb, ktoré sú evidované v ROI a ktoré súvisia s výkonom platobnej služby, v kontexte nariadenia DORA a RTS zmluvné dojednania

PRÍLOHA L6

Žiadateľ predloží opis prípadného využívania pobočiek a agentov vrátane:

  1. mapovania kontrol pobočiek a agentov na diaľku a na mieste, ktoré žiadateľ zamýšľa vykonávať aspoň raz za rok, ako aj ich frekvencie,
  2. IT systémov, postupov a infraštruktúry, ktorú využívajú agenti žiadateľa na vykonávanie činností v mene žiadateľa,
  3. v prípade agentov, politiky výberu, postupov monitorovania a odbornej prípravy agentov a prípadne návrhu spôsobu ich zaangažovania.

Vysvetlivky:

Pre splnenie požiadavky v bode 2. je potrebné sa odkázať na podmienku J s určením konkrétnej prílohy, nakoľko IKT aktíva žiadateľa zahŕňajú aj IKT aktíva pobočiek a agentov.

PRÍLOHA L7

Žiadateľ uvedie vnútroštátny a/alebo medzinárodný platobný systém, do ktorého sa zapojí/plánuje zapojiť.

PRÍLOHA L8

Žiadateľ predloží zoznam fyzických a právnických osôb, ktoré majú úzke prepojenie so žiadateľom, s uvedením ich identity a povahy týchto prepojení.