Baza je ažurirana 20.11.2024. 

zaključno sa NN 109/24

EU 2024/2679

NN 118/2020 (28.10.2020.), Odluka o eksternalizaciji

Hrvatska narodna banka

2302

Na temelju članka 111. i članka 101. stavka 2. Zakona o kreditnim institucijama (»Narodne novine«, br. 159/2013., 19/2015., 102/2015., 15/2018., 70/2019. i 47/2020.) i članka 43. stavka 2. točke 10. Zakona o Hrvatskoj narodnoj banci (»Narodne novine«, br. 75/2008., 54/2013. i 47/2020.) guverner Hrvatske narodne banke donosi

ODLUKU

O EKSTERNALIZACIJI

I. OPĆE ODREDBE

Predmet Odluke

Članak 1.

Ovom se Odlukom pobliže propisuju:

1) pojam ključnih ili važnih procesa, usluga ili aktivnosti

2) procesi, usluge ili aktivnosti koji se ne smatraju eksternalizacijom

3) iscrpni uvjeti za eksternalizaciju

4) sadržaj informacija, oblik i vođenje registra ugovorenih eksternalizacija

5) rok za dostavu Hrvatskoj narodnoj banci obavijesti o namjeri eksternalizacije ključnih ili važnih procesa, usluga ili aktivnosti i sadržaj dokumentacije uz tu obavijest i

6) pravila o upravljanju ostalim rizicima.

Obveznici primjene

Članak 2.

(1) Odredbe ove Odluke primjenjuju se na kreditne institucije sa sjedištem u Republici Hrvatskoj koje su od Hrvatske narodne banke dobile odobrenje za rad.

(2) Odredbe ove Odluke na odgovarajući način primjenjuju se na podružnice kreditnih institucija iz trećih zemalja koje su od Hrvatske narodne banke dobile odobrenje za osnivanje podružnice.

(3) Odredbe ove Odluke kreditna institucija dužna je primjenjivati na pojedinačnoj osnovi uzimajući u obzir i odredbe iz članka 7. ove Odluke.

(4) Odredbe članaka 6., 8. i 11. ove Odluke kreditna institucija dužna je primijeniti na konsolidiranoj osnovi u skladu s glavom IV. »Obuhvat primjene bonitetnih zahtjeva« Zakona o kreditnim institucijama.

Pojmovi

Članak 3.

Pojedini pojmovi koji se rabe u ovoj Odluci imaju sljedeće značenje:

1) eksternalizacija kako je uređeno člankom 109. stavkom 1. Zakona o kreditnim institucijama

2) grupa kreditnih institucija kako je uređeno člankom 17. Zakona o kreditnim institucijama

3) više rukovodstvo kako je uređeno člankom 3. točkom 90. Zakona o kreditnim institucijama

4) država članica i treća zemlja kako je uređeno člankom 13. Zakona o kreditnim institucijama

5) funkcija je usluga, proces ili aktivnost

6) pružatelj usluga jest pravna ili fizička osoba kojoj je kreditna institucija povjerila obavljanje funkcije ili dijela funkcije

7) podeksternalizacija je situacija u kojoj pružatelj usluga povjerava obavljanje eksternalizirane funkcije ili dijela funkcije drugom pružatelju usluga (podizvođač)

8) usluge računarstva u oblaku (engl. cloud) jesu usluge koje se pružaju putem računarstva u oblaku, odnosno model kojim se na zahtjev omogućuje široko rasprostranjen, pogodan mrežni pristup zajedničkom skupu podesivih računalnih resursa (npr. mreže, poslužitelji, uređaji za pohranu podataka, aplikacije i usluge) koji se mogu trenutačno pribaviti i otpustiti uz minimalnu upravljačku aktivnost ili prisutnost pružatelja usluge

9) javni oblak jest infrastruktura za usluge računarstva u oblaku kojoj može pristupiti šira javnost

10) privatni oblak jest infrastruktura za usluge računarstva u oblaku kojoj može pristupiti samo jedna institucija

11) zajednički oblak jest infrastruktura za usluge računarstva u oblaku dostupna samo određenoj skupini institucija, uključujući nekoliko institucija iz jedne grupe

12) hibridni oblak jest infrastruktura za usluge računarstva u oblaku sastavljena od dviju ili više različitih infrastruktura za usluge računarstva u oblaku

13) ključna ili važna funkcija kako je utvrđena člankom 5. ove Odluke

14) kreditna institucija koja nije velika kreditna institucija jest kreditna institucija koja ne ispunjava uvjete propisane člankom 4. stavkom 1. točkom 146. Uredbe (EU) br. 575/2013 i čiji četverogodišnji prosjek imovine iskazane u revidiranim financijskim izvještajima koji se odnose na posljednji dan prethodnih četiriju poslovnih godina na pojedinačnoj osnovi ne prelazi iznos u protuvrijednosti od 1 milijardu eura.

II. PROCJENA UGOVORA O EKSTERNALIZACIJI

Određivanje eksternalizacije

Članak 4.

(1) Kreditna institucija dužna je utvrditi predstavlja li povjeravanje obavljanja procesa, usluga ili aktivnosti između kreditne institucije i pružatelja usluge eksternalizaciju.

(2) U smislu ove Odluke eksternalizacijom se ne smatraju:

1) usluge za koje je obveza obavljanja od strane pružatelja usluga propisana zakonom (npr. zakonska revizija)

2) usluge informiranja o tržištu i usluge servisa za međubankovnu komunikaciju i trgovanje (npr. usluge koje pružaju društva Bloomberg, Moody’s, Standard & Poor’s, Fitch, Reuters)

3) globalne mreže za elektroničko plaćanje (npr. Visa, MasterCard)

4) usluge poravnanja i namire koje se obavljaju između klirinškog društva i institucije koja provodi namiru i njihovih članova

5) globalne financijske telekomunikacijske infrastrukture pod uvjetom da ih nadziru relevantna tijela (npr. SWIFT)

6) usluge korespondentnog bankarstva

7) nefinancijske usluge koje kreditne institucije inače ne obavljaju same (npr. usluge oglašavanja, savjeti arhitekata, pribavljanje pravnog mišljenja i zastupanje pred sudovima i pred upravnim tijelima, usluge čišćenja, vrtlarstva i održavanja poslovnih prostora, zdravstvene usluge, servisno održavanje službenih automobila, ugostiteljske usluge, automati za prodaju, uredske usluge, usluge prijevoza, usluge dostave, usluge recepcionara, tajnica, operatera centrale, usluge otpreme, prijama, prijenosa i/ili čuvanja elektroničkih isprava odnosno elektroničkih računa i usluge povjerenja za elektroničke transakcije iz članka 3. stavka 16. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28. 8. 2014.)

8) nabava robe (npr. kartice, čitači kartica, uredski pribor i namještaj, osobna računala) i

9) nabava komunalne usluge (npr. struja, voda, plin, telekomunikacijske usluge).

(3) Kreditna institucija dužna je, razmjerno vrsti, opsegu i složenosti poslova koje obavlja i rizicima svojstvenima modelu poslovanja, upravljati rizicima, kojima jest ili bi mogla biti izložena, a koji proizlaze iz povjeravanja obavljanja procesa, usluga ili aktivnosti pružatelju usluge, bez obzira na to je li to povjeravanje eksternalizacija ili nije.

Ključna ili važna funkcija

Članak 5.

(1) Kreditna institucija dužna je ključnom ili važnom funkcijom smatrati:

1) onu funkciju za koju se utvrdi da je tako važna da bi pogreška ili propust u njezinu izvršavanju značajno naštetio:

a) kontinuiranoj usklađenosti s uvjetima iz odobrenja za rad ili drugim obvezama propisanima:

i) Zakonom o kreditnim institucijama, propisima donesenima na temelju tog Zakona, Uredbom (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i investicijska društva i o izmjeni Uredbe (EU) br. 648/2012 (SL L 176, 27. 6. 2013.) i propisima Europske unije donesenima na temelju te Uredbe i Direktive 2013/36/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. o pristupanju djelatnosti kreditnih institucija i bonitetnom nadzoru nad kreditnim institucijama i investicijskim društvima, izmjeni Direktive 2002/87/EZ te stavljanju izvan snage direktiva 2006/48/EZ i 2006/49/EZ (SL L 176, 27. 6. 2013.)

ii) Zakonom o tržištu kapitala (»Narodne novine«, br. 65/2018. i 17/2020.), propisima donesenima na temelju tog Zakona i propisima donesenima na temelju Direktive 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (SL L 173, 12. 6. 2014.)

iii) Zakonom o platnom prometu (»Narodne novine«, br. 66/2018.), propisima donesenima na temelju tog Zakona i propisima Europske unije donesenima na temelju Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća od 25. studenoga 2015. o platnim uslugama na unutarnjem tržištu, o izmjeni direktiva 2002/65/EZ, 2009/110/EZ i 2013/36/EU te Uredbe (EU) br. 1093/2010 i o stavljanju izvan snage Direktive 2007/64/EZ (SL L 337, 23. 12. 2015.) i

iv) Zakonom o elektroničkom novcu (»Narodne novine«, br. 64/2018.), propisima donesenima na temelju Zakona o elektroničkom novcu i propisima Europske unije donesenima na temelju Direktive 2009/110/EZ Europskog parlamenta i Vijeća od 16. rujna 2009. o osnivanju, obavljanju djelatnosti i bonitetnom nadzoru poslovanja institucija za elektronički novac te o izmjeni direktiva 2005/60/EZ i 2006/48/EZ i stavljanju izvan snage Direktive 2000/46/EZ (SL L 267, 10. 10. 2009.)

b) rezultatima poslovanja ili

c) stabilnosti ili nastavku pružanja bankovnih i/ili financijskih usluga

2) eksternalizaciju dijela poslova kontrolnih funkcija, osim ako kreditna institucija utvrdi da propusti u eksternalizaciji takvih poslova ne bi nepovoljno utjecali na djelotvornost kontrolnih funkcija i

3) eksternalizaciju funkcije povezane s pružanjem bankovnih i/ili osnovnih financijskih usluga iz članka 10. ove Odluka za koju je potrebno odobrenje nadležnog tijela.

(2) U smislu ove Odluke eksternalizacija funkcija potrebnih za obavljanje aktivnosti u sklopu temeljnih poslovnih linija ili ključnih funkcija iz članka 4. stavka 2. točaka 33. i 34. Zakona o sanaciji kreditnih institucija i investicijskih društava (»Narodne novine«, br. 19/2015., 16/2019. i 47/2020.) jest ključna ili važna eksternalizacija, osim ako kreditna institucija utvrdi da nepružanje eksternalizirane funkcije ili neodgovarajuće pružanje eksternalizirane funkcije ne bi imalo negativan utjecaj na operativni kontinuitet temeljne poslovne linije ili ključne funkcije.

(3) S ciljem utvrđivanja ključne ili važne funkcije kreditna institucija dužna je uzeti u obzir rezultate procjene rizika iz članka 11. ove Odluke i najmanje sljedeće:

1) je li eksternalizacija izravno povezana s pružanjem bankovnih i/ili osnovnih financijskih usluga za koje je potrebno odobrenje nadležnog tijela

2) mogući utjecaj bilo kakvog prekida eksternalizirane funkcije ili nemogućnosti kontinuiranog pružanja usluge na dogovorenoj razini usluge na:

a) kratkoročnu i dugoročnu financijsku otpornost i održivost kreditne institucije, uključujući, ako je primjenjivo, utjecaj na imovinu, kapital, troškove, izvore financiranja, likvidnost, dobit ili gubitak

b) kontinuitet poslovanja i operativnu otpornost kreditne institucije

c) operativni i reputacijski rizik kreditne institucije i

d) ako je primjenjivo, plan oporavka i sanacijski plan, mogućnost sanacije i operativni kontinuitet kreditne institucije u situaciji rane intervencije, oporavka ili sanacije

3) mogući utjecaj eksternalizacije na:

a) upravljanje rizicima

b) ispunjavanje regulatornih i pravnih zahtjeva i

c) mogućnost provedbe revizije eksternalizirane funkcije

4) mogući utjecaj eksternalizirane funkcije na kvalitetu pružanja usluga klijentima

5) sve eksternalizirane funkcije, ukupnu izloženost kreditne institucije prema istom pružatelju usluga i mogući kumulativni utjecaj eksternalizacije u istom području poslovanja

6) veličinu i složenost područja poslovanja obuhvaćenog eksternalizacijom

7) mogućnost da bi se obujam planirane eksternalizacije mogao povećati bez izmjene osnovnog ugovora

8) mogućnost prijenosa planirane eksternalizacije na drugog pružatelja usluge

9) mogućnost vraćanja eksternalizirane funkcije u kreditnu instituciju i

10) zaštitu podataka i mogući utjecaj povrede povjerljivosti ili propusta u osiguranju dostupnosti i integriteta podataka na kreditnu instituciju i njezine klijente, uključujući i usklađenost s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka, u nastavku teksta: Uredba (EU) 2016/679).

(4) Kreditna institucija dužna je prije donošenja odluke o eksternalizaciji ključne ili važne funkcije procijeniti mogući utjecaj eksternalizacije najmanje na:

1) profil rizičnosti kreditne institucije

2) mogućnost nadziranja pružatelja usluge od strane kreditne institucije i nadležnog tijela te upravljanja rizicima koji proizlaze iz eksternalizacije

3) mjere za održavanje kontinuiteta poslovanja i

4) kvalitetu obavljanja poslovnih aktivnosti.

(5) Kada dođe do značajne promjene rizika, prirode ili obuhvata eksternalizirane funkcije, kreditna institucija dužna je ponovno procijeniti je li eksternalizirana funkcija ključna ili važna.

III. SUSTAV UPRAVLJANJA EKSTERNALIZACIJOM

Organizacijski ustroj

Članak 6.

(1) Kreditna institucija dužna je osigurati:

1) jasan, transparentan i dokumentiran proces odlučivanja o eksternalizaciji

2) jasnu raspodjelu ovlasti i odgovornosti organizacijskih jedinica ili radnika zaduženih za dokumentiranje, upravljanje i nadzor postupka ugovaranja i provedbe eksternalizacije i

3) odgovarajuće resurse koji osiguravaju usklađenost s odredbama propisa i dobrih praksi kojima se uređuje eksternalizacija.

(2) Kreditna institucija dužna je uspostaviti funkciju odgovornu za eksternalizaciju ili odrediti osobu iz višeg rukovodstva (npr. osoba odgovorna za rad kontrolne funkcije) koja će biti zadužena za kontrolu rizika povezanih s eksternalizacijom i za kontrolu dokumentacije povezane s eksternalizacijom.

(3) Iznimno od stavka 2. ovoga članka, kreditna institucija koja nije velika kreditna institucija može funkciju odgovornu za eksternalizaciju dodijeliti članu uprave.

(4) Kreditna institucija dužna je pri eksternalizaciji osigurati najmanje sljedeće:

1) donošenje i provođenje odluka o svojim poslovnim aktivnostima i ključnim ili važnim funkcijama

2) nastavak urednog obavljanja poslova i pružanja bankovnih i financijskih usluga

3) adekvatno utvrđivanje, procjenu i upravljanje rizicima koji proizlaze iz eksternalizacije te njihovo smanjenje na odgovarajući način

4) ako je primjenjivo, sklapanje odgovarajućih ugovora o povjerljivosti podataka i drugih informacija

5) održavanje odgovarajuće razmjene relevantnih informacija s pružateljima usluga

6) ako se eksternalizira ključna ili važna funkcija, dužna je osigurati poduzimanje najmanje jedne od sljedećih mjera u odgovarajućem roku:

a) prijenos funkcije na druge pružatelje usluga

b) vraćanje obavljanja funkcije u kreditnu instituciju ili

c) prestanak poslovnih aktivnosti koje ovise o toj funkciji i

7) ako osobne podatke obrađuju pružatelji usluga u EU-u i/ili trećim zemljama, da se podaci obrađuju u skladu s Uredbom (EU) 2016/679.

(5) Kreditna institucija dužna je osigurati da eksternalizacija ne prouzroči prijenos odgovornosti s odgovornih osoba kreditne institucije na pružatelja usluge.

Eksternalizacija unutar grupe kreditnih institucija

Članak 7.

(1) Ako kreditna institucija eksternalizira funkcije pružateljima usluga unutar grupe kreditnih institucija kojoj pripada, uprava i nadzorni odbor kreditne institucije koja je eksternalizirala određenu aktivnost ili uslugu, u skladu sa svojim nadležnostima, odgovorni su i za te eksternalizacije usluga i aktivnosti i zadržavaju punu odgovornost za usklađivanje sa svim regulatornim zahtjevima i za učinkovitu primjenu ove Odluke.

(2) Ako kreditna institucija povjerava obavljanje dijela poslova kontrolnih funkcija pružatelju usluga unutar grupe kreditnih institucija kojoj pripada, dužna je za potrebe praćenja i revizije eksternalizacije osigurati i za te eksternalizacije učinkovitu provedbu tih poslova, uključujući primanje odgovarajućih izvješća.

(3) Ako je operativno praćenje pojedine eksternalizacije centralizirano unutar grupe kreditnih institucija kojoj kreditna institucija pripada (npr. u okviru standardiziranog ugovora o praćenju eksternalizacije), kreditna institucija dužna je, najmanje za eksternalizirane ključne ili važne funkcije osigurati:

1) mogućnost neovisnog praćenja pružatelja usluga i odgovarajućeg nadziranja eksternalizacije, uključujući primanje barem jednom godišnje i na zahtjev izvješća od centralizirane funkcije za praćenje na razini grupe kreditnih institucija, a koja najmanje sadržavaju sažetak procjene rizika i praćenja provedbe eksternalizacije i

2) mogućnost da od centralizirane funkcije za praćenje na razini grupe kreditnih institucija dobije sažetak relevantnih revizijskih izvješća povezanih s eksternalizacijom ključnih ili važnih funkcija te, na zahtjev, potpuno revizijsko izvješće.

(4) Kreditna institucija dužna je osigurati da uprava kreditne institucije bude pravodobno obaviještena o relevantnim planiranim promjenama glede pružatelja usluga koji se centralizirano prate unutar grupe kreditnih institucija kojoj kreditna institucija pripada te o mogućem učinku tih promjena na ključne ili važne funkcije koje se pružaju, uključujući sažetak analize rizika, među ostalim pravnih rizika, usklađenost s regulatornim zahtjevima i učinak na razine usluga.

(5) Ako se kreditna institucija oslanja na procjenu eksternalizacije iz članka 9. ove Odluke koja se provodi prije sklapanja ugovora s pružateljem usluga centralizirano unutar grupe kreditnih institucija kojoj kreditna institucija pripada, dužna je osigurati primitak sažetka procjene i osigurati da se u postupku donošenja odluke uzmu u obzir njezina specifična struktura i rizici.

(6) Ako se registar svih ugovorenih eksternalizacija vodi centralizirano unutar grupe kreditnih institucija kojoj kreditna institucija pripada, kreditna institucija dužna je bez odgode osigurati primitak svojeg registra koji sadržava sve ugovore koje je kreditna institucija sklopila s pružateljem usluga, uključujući i one sklopljene s pružateljima usluga unutar te grupe kreditnih institucija, i to najmanje u sadržaju koji je propisan člankom 17. ove Odluke.

(7) Ako se kreditna institucija oslanja na izlazni plan za ključne ili važne funkcije koji je uspostavljen na razini grupe kreditnih institucija kojoj kreditna institucija pripada, dužna je osigurati primitak sažetka plana i uvjeriti se da se plan može uspješno provesti.

Politika eksternalizacije

Članak 8.

(1) Kreditna institucija dužna je u svojim politikama propisati načela, odgovornosti i postupke povezane s eksternalizacijom.

(2) Uprava kreditne institucije dužna je odobriti i redovito preispitivati politike iz stavka 1. ovoga članka.

(3) Politike iz stavka 1. ovoga članka najmanje sadržavaju kriterije i postupke vezane uz:

1) proces donošenja odluke o eksternalizaciji

2) planiranje eksternalizacije:

a) definiranje poslovnih zahtjeva glede eksternalizacije

b) utvrđivanje ključnih ili važnih funkcija

c) utvrđivanje i procjenu rizika koji proizlaze iz eksternalizacije te upravljanje njima

d) dubinsku analizu mogućih pružatelja usluga

e) utvrđivanje, procjenu, smanjenje ili sprječavanje stvarnih i mogućih sukoba interesa te upravljanje njima

f) planiranje kontinuiteta poslovanja i

g) odobravanje novih eksternalizacija

3) provedbu i praćenje eksternalizacije te upravljanje njome:

a) kontinuiranu procjenu rada pružatelja usluga

b) primanja obavijesti o promjenama i odgovora na promjene već ugovorene eksternalizacije ili kod pružatelja usluga

c) neovisnu provjeru i reviziju usklađenosti s pravnim i regulatornim zahtjevima i politikama i

d) postupke obnavljanja ugovora

4) dokumentaciju i vođenje registra i

5) izlazne strategije i postupke raskida ili otkaza ugovora, uključujući zahtjev za dokumentirani izlazni plan za svaku ključnu ili važnu funkciju koja se eksternalizira ako se izlazak smatra mogućim nakon što se uzmu u obzir mogući prekidi u pružanju usluge ili neočekivan otkaz ili raskid ugovora s pružateljem usluga.

IV. POSTUPAK EKSTERNALIZACIJE

Analiza prije eksternalizacije

Članak 9.

Kreditna institucija dužna je prije donošenja odluke o eksternalizaciji:

1) procijeniti odnosi li se eksternalizacija na ključnu ili važnu funkciju utvrđenu u članku 5. ove Odluke

2) procijeniti jesu li ispunjeni supervizorski uvjeti za eksternalizaciju utvrđeni u članku 10. ove Odluke

3) utvrditi i procijeniti sve relevantne rizike koji proizlaze iz eksternalizacije u skladu s člankom 11. ove Odluke

4) provesti odgovarajuću dubinsku analizu potencijalnog pružatelja usluge u skladu s člankom 12. ove Odluke i

5) utvrditi i procijeniti sukobe interesa koji bi mogli proizaći iz eksternalizacije u skladu s člancima 17. i 18. Odluke o sustavu upravljanja.

Supervizorski uvjeti za eksternalizaciju

Članak 10.

(1) Ako kreditna institucija eksternalizira funkciju izravno povezanu s pružanjem bankovnih usluga ili osnovnih financijskih usluga na pružatelja usluge iz Republike Hrvatske ili druge države članice Europske unije, mora biti ispunjen jedan od sljedećih uvjeta:

1) pružatelj usluga ima odobrenje za obavljanje te funkcije koje je izdalo nadležno tijelo ili je upisan u odgovarajući registar pri nadležnom tijelu za obavljanje te funkcije ili

2) pružatelj usluga ovlašten je obavljati tu funkciju, ako je takvo posebno ovlaštenje za obavljanje te funkcije određeno propisima.

(2) Ako kreditna institucija eksternalizira funkciju izravno povezanu s pružanjem bankovnih usluga ili osnovnih financijskih usluga na pružatelja usluge iz treće zemlje, moraju biti ispunjeni sljedeći uvjeti:

1) pružatelj usluga ima odobrenje ili je upisan u odgovarajući registar pri nadležnom tijelu za obavljanje te funkcije u trećoj zemlji te ga nadzire relevantno nadzorno tijelo i

2) sklopljen je odgovarajući sporazum o suradnji između Hrvatske narodne banke i nadzornog tijela pružatelja usluga iz te treće zemlje.

(3) Kreditna institucija dužna je unatoč eksternaliziranim funkcijama u svakom trenutku održavati dostatnu razinu poslovanja te osigurati da:

1) u svakom trenutku ispunjava sve uvjete iz odobrenja za rad

2) uprava i nadzorni odbor učinkovito izvršavaju svoje odgovornosti

3) zadržava jasan i transparentan organizacijski okvir i strukturu koja joj omogućuje osiguravanje usklađenosti s propisanim zahtjevima

4) ako se eksternaliziraju operativni zadaci kontrolnih funkcija, nadzire i upravlja rizicima koji proizlaze iz eksternalizacije ključnih ili važnih funkcija i

5) raspolaže dostatnim resursima za osiguravanje usklađenosti s točkama 1. – 4. ovoga stavka.

Procjena i upravljanje rizicima koji proizlaze iz eksternalizacije

Članak 11.

(1) Kreditna institucija dužna je prije sklapanja ugovora s pružateljem usluga i tijekom praćenja rada pružatelja usluga procjenjivati rizike i uspostaviti odgovarajući sustav upravljanja operativnim i koncentracijskim rizikom te ostalim rizicima koji proizlaze iz eksternalizacije.

(2) Ako ugovor s pružateljem usluga omogućuje da pružatelj usluga podeksternalizira ključne ili važne funkcije podizvođačima, kreditna institucija dužna je pri procjeni rizika uzeti u obzir najmanje sljedeće:

1) rizike povezane s podeksternalizacijom, uključujući dodatne rizike koji mogu nastati ako je lokacija podizvođača u trećoj zemlji ili zemlji različitoj od one u kojoj je pružatelj usluga i

2) rizik da dugi i složeni lanci podeksternalizacije kreditnoj instituciji i Hrvatskoj narodnoj banci smanjuju sposobnost učinkovitog nadziranja eksternalizirane ključne ili važne funkcije.

(3) Kreditna institucija dužna je prije ugovaranja eksternalizacije procijeniti mogući učinak eksternalizacije na svoj operativni rizik i uzeti u obzir rezultate procjene pri donošenju odluke o eksternalizaciji funkcije određenom pružatelju usluga.

(4) Kreditna institucija dužna je prije ugovaranja eksternalizacije poduzeti odgovarajuće mjere kako bi izbjegla nepotrebne dodatne operativne rizike.

(5) Pravila za primjenu i uspostavu sustava upravljanja rizicima u smislu Zakona o kreditnim institucijama i propisa donesenih na temelju tog Zakona primjenjuju se na odgovarajući način i na upravljanje rizicima koji proizlaze iz eksternalizacije.

(6) Eksternalizirane funkcije moraju na odgovarajući način biti obuhvaćene sustavom unutarnjih kontrola kreditne institucije. Pravila za primjenu i uspostavu sustava unutarnjih kontrola i kontrolnih funkcija u smislu Zakona o kreditnim institucijama i propisa donesenih na temelju tog Zakona primjenjuju se na odgovarajući način i na eksternalizirane funkcije.

Dubinska analiza

Članak 12.

(1) Kreditna institucija dužna je prije ugovaranja eksternalizacije, u sklopu svojih postupaka odabira i procjene pružatelja usluge, osigurati njegovu primjerenost, uzimajući u obzir pritom procjenu operativnih rizika povezanih s funkcijom koju namjerava eksternalizirati.

(2) Pri procjeni primjerenosti pružatelja usluge eksternalizacije ključne ili važne funkcije kreditna institucija dužna je procijeniti ima li pružatelj usluge:

1) dobar ugled

2) odgovarajuće sposobnosti, stručnost, resurse (npr. ljudske, IT, financijske) i organizacijsku strukturu i

3) ako je potrebno, odobrenje za obavljanje te funkcije ili upis u odgovarajući registar pri nadležnom tijelu.

(3) Kreditna institucija dužna je pri provedbi dubinske analize potencijalnog pružatelja usluge eksternalizacije ključne ili važne funkcije dodatno razmotriti i sljedeće:

1) poslovni model pružatelja usluge, njegovu prirodu, veličinu, složenost, financijsko stanje, vlasničku strukturu i, ako je pružatelj usluge član grupe, strukturu grupe kojoj pripada

2) dugoročne odnose s pružateljima usluga koji su već procijenjeni i pružaju usluge kreditnoj instituciji

3) je li pružatelj usluga matično društvo ili društvo kći kreditne institucije te je li uključen u računovodstvenu konsolidaciju i

4) nadzire li pružatelja usluga nadležno nadzorno tijelo.

(4) Ako eksternalizacija uključuje obradu osobnih ili povjerljivih podataka, kreditna institucija dužna je provjeriti provodi li pružatelj usluga odgovarajuće tehničke i organizacijske mjere potrebne za zaštitu tih podataka.

Ugovorni odnos kreditne institucije i pružatelja usluga

Članak 13.

(1) Pri sklapanju ugovora s pružateljem usluga kreditna institucija dužna je voditi računa o tome da su ugovorne odredbe prema svom opsegu i sadržaju prilagođene rizicima povezanima s eksternalizacijom te opsegu i kompleksnosti eksternaliziranih funkcija.

(2) Kreditna institucija dužna je s pružateljem usluga sklopiti ugovor u pisanom obliku, a koji sadržava najmanje:

1) detaljan opis eksternalizirane funkcije koja je predmet ugovora

2) datum početka ispunjavanja ugovornih obveza

3) financijske obveze ugovornih strana

4) odredbe koje uređuju način na koji će kreditna institucija kontinuirano pratiti obavljanje funkcije koja je predmet ugovora, uključujući vrste izvještaja koje će kreditna institucija dobivati od pružatelja usluga i dinamiku njihova dostavljanja

5) obvezu pružatelja usluga o pravodobnom obavještavanju kreditne institucije o svim činjenicama i promjenama okolnosti koje značajno utječu ili koje bi mogle značajno utjecati na ispunjavanje ugovornih obveza

6) ugovorenu razinu usluga i kvalitetu obavljanja funkcija, uključujući kvalitativne i, ako je primjenjivo, kvantitativne pokazatelje uspješnosti za obavljanje eksternalizirane funkcije, postavljene na razinama koje omogućavaju pravodobno poduzimanje korektivnih mjera od strane kreditne institucije

7) ako je primjenjivo, obvezu čuvanja bankovne i poslovne tajne te obvezu čuvanja i način zaštite povjerljivih i osobnih podataka, uključujući odredbe o pristupačnosti, dostupnosti, integritetu, privatnosti i sigurnosti odnosnih podataka

8) ako je primjenjivo, mjesto na kojem će se pružati predmetna eksternalizirana funkcija, mjesto čuvanja, obrade i pohrane relevantnih podataka i obvezu pružatelja usluge da obavještava kreditnu instituciju o namjeri promjene mjesta

9) odredbu o tome je li podeksternalizacija funkcije dopuštena

10) obvezu pružatelja usluga da pri pružanju usluga u cijelosti postupa u skladu s postojećim propisima Republike Hrvatske

11) obvezu pružatelja usluga da omogući Hrvatskoj narodnoj banci pravo pristupa i pravo na neposredni nadzor na način uređen člankom 15. stavkom 1. ove Odluke

12) odredbu kojom se osigurava pristup podacima u vlasništvu kreditne institucije u slučaju prestanka ili prekida poslovanja pružatelja usluga (npr. stečaj, sanacija, likvidacija i sl.)

13) odredbu o ovlastima sanacijskog tijela na temelju članaka 89. i 92. Zakona o sanaciji kreditnih institucija i investicijskih društava odnosno ovlasti u koje je prenesena ovlast sanacijskog tijela iz članaka 68. i 71. Direktive 2014/59/EU, a u vezi s ugovornim obvezama kreditne institucije

14) odredbu o tome treba li pružatelj usluga sklopiti policu osiguranja od profesionalne odgovornosti te, ako je primjenjivo, razinu pokrića osiguranja koja se traži

15) obvezu pružatelja usluga o suradnji s nadležnim tijelima i sanacijskim tijelima nadležnim za tu kreditnu instituciju

16) rok trajanja ugovornog odnosna, naznaku da se radi o ugovoru čije trajanje nije određeno

17) opis uvjeta za raskid i/ili otkaz ugovora s definiranim otkaznim rokovima za kreditnu instituciju i pružatelja usluga

18) pravo kreditne institucije da raskine odnosno otkaže ugovor s pružateljem usluga ako to naloži Hrvatska narodna banka

19) odabir mjerodavnog prava i

20) način rješavanja sporova.

(3) Kada kreditna institucija s pružateljem usluga sklopi ugovor kojim se eksternaliziraju ključne ili važne funkcije, taj ugovor osim sadržaja iz stavka 2. ovoga članka mora sadržavati i sljedeće:

1) obvezu pružatelja usluge da omogući kreditnoj instituciji pravo pristupa i pravo na reviziju na način uređen člankom 15. stavkom 2. ove Odluke

2) odredbe o uvođenju i testiranju planova postupanja u kriznim situacijama

3) obveze pružatelja usluga u slučaju prijenosa eksternalizirane funkcije na drugog pružatelja usluga ili njezina vraćanja u kreditnu instituciju, uključujući i obveze o postupanju s podacima

4) određivanje prikladnoga prijelaznog razdoblja tijekom kojeg bi pružatelj usluga nakon raskida ili otkaza ugovora nastavio pružati eksternaliziranu funkciju kako bi se smanjio rizik njezina prekida i

5) obvezu pružatelja usluga da pruži podršku kreditnoj instituciji pri pravilnom prijenosu ili vraćanju funkcije u slučaju otkaza ili raskida ugovora o eksternalizaciji.

(4) Kada je ugovorom kojim se eksternalizira ključna ili važna funkcija podeksternalizacija dopuštena, taj ugovor osim sadržaja iz stavaka 2. i 3. ovoga članka mora još sadržavati najmanje sljedeće:

1) obvezu pružatelja usluga da obavijesti kreditnu instituciju o svakoj planiranoj podeksternalizaciji ili njezinim materijalno značajnim promjenama, i to u roku koji će kreditnoj instituciji omogućiti provođenje procjene rizika predloženih promjena kako bi mogla po potrebi pravodobno podnijeti prigovor na planiranu podeksternalizaciju ili njezine materijalno značajne promjene

2) pravo otkaza/raskida ugovora kada je zbog podeksternalizacije došlo do povećanja rizika za kreditnu instituciju ili kada pružatelj usluga izvrši podeksternalizaciju bez obavješćivanja kreditne institucije i u drugim opravdanim slučajevima

3) ako se podeksternalizira obrada osobnih podataka, obvezu pružatelja usluga da pribavi pisanu suglasnost kreditne institucije iz članka 28. Uredbe (EU) 2016/679

4) obvezu da je pružatelj usluge dužan nadzirati usluge koje je podugovorio

5) uvjete koje je potrebno ispuniti u slučaju podeksternalizacije

6) vrste funkcija za koje podeksternalizacija nije dopuštena

7) obvezu pružatelja usluge da zatraži pisano odobrenje od strane kreditne institucije za planiranu podeksternalizaciju ili njezine materijalno značajne promjene ili pravo prigovora u vezi s navedenim i

8) obvezu pružatelja usluge da s podizvođačem ugovori odredbe o pravu pristupa i pravu na reviziju ili neposredni nadzor na način uređen člankom 15. ove Odluke.

(5) Kreditna institucija može odobriti podeksternalizaciju samo ako se podizvođač obveže da će postupati u skladu s primjenjivim propisima i regulatornim zahtjevima, ispuniti sve ugovorne obveze koje se na njega primjenjuju te omogućiti kreditnoj instituciji i Hrvatskoj narodnoj banci ista prava pristupa i prava na reviziju ili neposredni nadzor koja imaju u odnosu na pružatelja usluga u skladu s člankom 15. ove Odluke.

Sigurnost podataka i sustava

Članak 14.

(1) Kreditna institucija dužna je osigurati da pružatelj usluga, kad je to relevantno, poštuje odgovarajuće standarde IT sigurnosti.

(2) Kreditna institucija dužna je pri eksternalizaciji pružatelju usluge računarstva u oblaku ili drugoj eksternalizaciji u području ICT-a, u ugovoru definirati zahtjeve vezane uz sigurnosti podataka i sustava te kontinuirano pratiti usklađenost s tim zahtjevima.

(3) Kreditna institucija dužna je prije sklapanja ugovora s pružateljima usluga računarstva u oblaku i drugih ugovora koji uključuju rukovanje osobnim ili povjerljivim podacima te njihov prijenos, procijeniti rizike povezane s lokacijom (tj. državom ili regijom) na kojoj će se pohranjivati i obrađivati podaci te osigurati da ti rizici budu unutar prihvatljivih granica.

(4) Kreditna institucija dužna je pri eksternalizaciji, posebno u treće zemlje, uzeti u obzir razlike među nacionalnim propisima o zaštiti podataka.

Pravo pristupa i pravo na reviziju ili neposredni nadzor

Članak 15.

(1) Kreditna institucija dužna je ugovorom s pružateljem usluga osigurati da pružatelj usluga omogući Hrvatskoj narodnoj banci ili osobama koje Hrvatska narodna banka na to ovlasti:

1) pravodoban i neograničen pristup poslovnim prostorijama, uključujući pristup uređajima, sustavima, mrežama, informacijama i podacima koji se upotrebljavaju za pružanje eksternalizirane funkcije kao i svim povezanim financijskim informacijama, radnicima i vanjskim revizorima pružatelja usluga i

2) provođenje neposrednog nadzora nad dijelom poslovanja pružatelja usluga koji ima veze ili se može dovesti u vezu s eksternalizacijom kao i nad obavljanjem funkcija koje su predmet ugovora s pružateljem usluge u svrhu omogućavanja praćenja eksternalizacije i osiguravanja usklađenosti sa svim primjenjivim regulatornim i ugovornim zahtjevima.

(2) Kreditna institucija dužna je pri eksternalizaciji ključne ili važne funkcije ugovorom s pružateljem usluga osigurati da pružatelj usluga omogući kreditnoj instituciji, njezinu vanjskom revizoru i drugim osobama koje ona na to ovlasti te sanacijskim tijelima određenima propisima koji uređuju sanaciju kreditnih institucija:

1) pravodoban i neograničen pristup poslovnim prostorijama, uključujući pristup uređajima, sustavima, mrežama, informacijama i podacima koji se upotrebljavaju za pružanje eksternalizirane funkcije kao i svim povezanim financijskim informacijama, radnicima i vanjskim revizorima pružatelja usluga i

2) provođenje revizije odnosno provjere dijela poslovanja pružatelja usluga koji ima veze ili se može dovesti u vezu s tom eksternalizacijom kao i provjeru obavljanja eksternaliziranih funkcija koje su predmet ugovora s pružateljem usluge u svrhu omogućavanja praćenja eksternalizacije i osiguravanja usklađenosti sa svim primjenjivim regulatornim i ugovornim zahtjevima.

(3) Kreditna je institucija dužna ugovorom s pružateljem usluga osigurati da njezina unutarnja revizija može provesti unutarnju reviziju eksternalizirane funkcije primjenom pristupa koji se zasniva na procjeni rizika.

(4) Pri ostvarivanju prava pristupa i prava na reviziju iz ovoga članka te pri utvrđivanju učestalosti provođenja revizija i područja u kojima reviziju treba provesti, kreditna institucija dužna je primijeniti pristup zasnovan na procjeni rizika.

(5) U smislu provođenja revizije i provjere iz stavka 2. točke 2. ovoga članka kreditna institucija može primjenjivati:

1) skupne revizije organizirane zajedno s drugim klijentima istog pružatelja usluga koje provode kreditne institucije i ti klijenti ili treća strana koju su oni imenovali i

2) certifikate trećih strana i revizorska izvješća trećih strana ili izvješća unutarnje revizije koja je pružatelj usluga stavio na raspolaganje.

(6) Kreditna institucija dužna je procijeniti jesu li certifikati i izvješća trećih strana iz stavka 5. točke 2. ovoga članka prikladni i dostatni za provođenje odgovarajuće revizije i provjere eksternalizacije ključne ili važne funkcije te se dugoročno ne smiju oslanjati samo na ta izvješća.

(7) Ako eksternalizacija podrazumijeva visoku razinu tehničke složenosti, npr. u slučaju eksternalizacije računarstva u oblaku, kreditna institucija dužna je provjeriti:

1) imaju li osobe iz stavka 5. ovoga članka koje provode reviziju i/ili procjenu odgovarajuće i relevantne vještine i znanja za djelotvorno obavljanje takvih revizija i/ili procjena i

2) imaju li radnici kreditne institucije koji provjeravaju certifikate i/ili izvješća osoba iz stavka 5. ovoga članka odgovarajuće i relevantne vještine i znanja za djelotvorno obavljanje takvih provjera.

Izlazne strategije

Članak 16.

(1) Kreditna institucija dužna je za svaku ključnu ili važnu eksternalizaciju, u skladu s politikom eksternalizacije iz članka 8. ove Odluke i planovima kontinuiteta poslovanja iz članaka 38., 69., 70. i 71. Odluke o sustavu upravljanja, definirati i dokumentirati izlaznu strategiju kreditne institucije, uzimajući u obzir najmanje sljedeće mogućnosti:

1) otkaz ili raskid ugovora s pružateljem usluga

2) propast pružatelja usluge

3) pogoršanje kvalitete eksternalizirane funkcije i stvarnih ili mogućih poremećaja poslovanja uzrokovanih neodgovarajućim ili neuspješnim obavljanjem eksternalizirane funkcije i

4) pojavu materijalno značajnih rizika za prikladno i kontinuirano obavljanje funkcije.

(2) Kreditna institucija dužna je osigurati mogućnost otkaza ili raskida ugovora s pružateljem usluga bez nepotrebnih prekida poslovnih aktivnosti, bez ograničavanja svoje usklađenosti s regulatornim zahtjevima i bez štetnih posljedica za kontinuitet i kvalitetu pružanja usluga klijentima.

(3) S ciljem ispunjavanja uvjeta iz stavka 2. ovoga članka kreditna institucija dužna je:

1) izraditi i provoditi izlazne planove koji su sveobuhvatni, dokumentirani i, prema potrebi, dovoljno testirani (npr. provedbom analize mogućih troškova, učinaka, resursa i vremenskih aspekata prijenosa eksternalizirane funkcije na drugog pružatelja usluge) i

2) utvrditi alternativna rješenja i izraditi prijelazne planove kako bi se kreditnoj instituciji omogućilo oduzimanje eksternalizirane funkcije i podataka pružatelju usluge i prijenos drugim pružateljima ili vraćanje u kreditnu instituciju ili poduzimanje drugih mjera kojima se osigurava kontinuirano obavljanje ključne ili važne funkcije ili poslovne aktivnosti na kontroliran i dobro testiran način, uzimajući u obzir probleme do kojih može doći zbog lokacije podataka te poduzimanja odgovarajućih mjera za osiguravanje kontinuiteta poslovanja tijekom prijelazne faze.

(4) Kreditna institucija dužna je pri izradi izlaznih strategija:

1) definirati ciljeve izlazne strategije

2) provesti analizu učinka na poslovanje proporcionalnu riziku eksternaliziranih funkcija kako bi se utvrdilo koji su ljudski i financijski resursi potrebni za provedbu izlaznog plana i koliko će vremena za to trebati

3) dodijeliti uloge, odgovornosti i dostatne resurse za upravljanje izlaznim planovima i prijenos aktivnosti

4) ako je primjenjivo, definirati kriterije uspješnosti za prijenos eksternaliziranih funkcija i podataka i

5) definirati pokazatelje koji će se primijeniti za praćenje ugovora s pružateljem usluga, uključujući pokazatelje neprihvatljivih razina usluge koji trebaju potaknuti izlaz.

V. VOĐENJE REGISTRA UGOVORENIH EKSTERNALIZACIJA

Dokumentacija o eksternalizaciji

Članak 17.

(1) Kreditna institucija dužna je voditi i redovito ažurirati registar svih ugovorenih eksternalizacija koji sadržava sljedeće informacije:

1) referentni broj svakog ugovora sklopljenog s pružateljem usluge

2) datum sklapanja ugovora i datum početka primjene ugovora ukoliko je različit od datuma sklapanja ugovora, ako je primjenjivo, datum sljedećeg produljenja ugovora te datum završetka ugovornog odnosa, odnosno ako je primjenjivo, trajanje otkaznih rokova za kreditnu institucije i pružatelja usluga

3) kratak opis eksternalizirane funkcije, uključujući podatke koji se eksternaliziraju i napomenu o tome jesu li preneseni osobni podaci te je li obrada osobnih podataka eksternalizirana pružatelju usluga

4) kategoriju eksternalizirane funkcije (npr. informacijska tehnologija, kontrolne funkcije itd.)

5) naziv pružatelja usluge, broj iz odgovarajućeg registra (npr. MBS, LEI – engl. legal entity identifier, ako ga ima), adresu sjedišta i ostale detalje za kontakt te naziv matičnog društva (ako je primjenjivo) pružatelja usluge

6) državu ili države u kojima se pruža usluga, uključujući lokaciju (državu ili regiju) podataka

7) smatra li se eksternalizirana funkcija ključnom ili važnom i sažetak procjene iz članka 9. ove Odluke

8) za eksternalizaciju pružateljima usluga računarstva u oblaku, model usluge u oblaku i model uporabe oblaka (npr. javni, privatni, zajednički ili hibridni oblak), konkretnu prirodu podataka koji se čuvaju i lokacije podataka (države ili regije) na kojima će se pohranjivati ti podaci i

9) datum posljednje procjene ključnosti ili važnosti eksternalizirane funkcije.

(2) Za ključne ili važne eksternalizacije, osim informacija iz stavka 1. ovoga članka, registar sadržava najmanje sljedeće dodatne informacije:

1) ako je primjenjivo, institucije i ostala društva obuhvaćena bonitetnom konsolidacijom koja koriste tu eksternalizaciju

2) pripada li pružatelj usluga ili podizvođač grupi obuhvaćenoj bonitetnom konsolidacijom čija je kreditna institucija članica ili je u vlasništvu te kreditne institucije ili drugog društva unutar te grupe

3) datum posljednje procjene rizika iz članka 11. ove Odluke i kratak sažetak najvažnijih rezultata te procjene

4) osobu ili tijelo u kreditnoj instituciji koje je odobrilo eksternalizaciju

5) mjerodavno pravo

6) datum posljednje i sljedeće planirane revizije odnosno provjere eksernalizacije

7) ako je primjenjivo, imena svih podizvođača kojima se podeksternaliziraju značajni dijelovi eksternalizirane funkcije, državu u kojoj podizvođači imaju sjedište ili prebivalište, državu u kojoj će se pružati usluga i, ako je primjenjivo, lokaciju (država ili regija) na kojoj će se pohranjivati podaci

8) rezultat procjene zamjenjivosti pružatelja usluge (jednostavno, teško ili nemoguće), mogućnost ponovnog obavljanja ključne ili važne funkcije od strane kreditne institucije ili učinak prestanka obavljanja eksternalizirane funkcije

9) ovisno o rezultatima procjene iz točke 8. ovoga stavka, alternativnog pružatelja usluge

10) podržava li eksternalizirana ključna ili važna funkcija poslovne aktivnosti koje su vremenski kritične i

11) procjenu godišnjeg troška te eksternalizacije.

(3) Kreditna institucija dužna je najkasnije do 31. siječnja tekuće kalendarske godine Hrvatskoj narodnoj banci dostaviti registar svih ugovorenih eksternalizacija sa stanjem na dan 31. prosinca prethodne kalendarske godine.

(4) Kreditna institucija dužna je bez odgode obavijestiti Hrvatsku narodnu banku o značajnim promjenama i/ili ozbiljnim događajima povezanima s eksternalizacijom koji bi mogli imati materijalno značajni utjecaj na poslovanje kreditne institucije.

(5) Kreditna institucija dužna je na odgovarajući način dokumentirati procjene iz članka 9. ove Odluke i rezultate kontinuiranog praćenja eksternalizacije (npr. praćenje rada pružatelja usluge, usklađenost s ugovorenim razinama usluge, druge ugovorne i regulatorne zahtjeve, ažuriranje procjene rizika).

(6) Kreditna institucija dužna je bez odgode obavijestiti Hrvatsku narodnu banku ako kontinuiranim praćenjem eksternalizacije iz stavka 5. ovoga članka utvrdi da je došlo do promjene rizika, prirode ili obuhvata eksternalizirane ključne ili važne funkcije i/ili kad eksternalizirana funkcija postane ključna ili važna te uz tu obavijest dostaviti sažetak procjene rizika i kratak opis promjena u eksternaliziranoj funkciji.

VI. OBAVJEŠTAVANJE HRVATSKE NARODNE BANKE

Obavijest o eksternalizaciji ključne ili važne funkcije

Članak 18.

(1) Ako kreditna institucija namjerava eksternalizirati ključnu ili važnu funkciju u skladu s člankom 5. ove Odluke, dužna je u primjerenom roku, a najkasnije 30 dana prije sklapanja ugovora s pružateljem usluga, o tome obavijestiti Hrvatsku narodnu banku.

(2) Obavijest iz stavka 1. ovoga članka mora sadržavati obrazloženje koje obuhvaća opis ključne ili važne funkcije koja se namjerava eksternalizirati i razlog donošenja odluke o eksternalizaciji.

(3) Obavijesti iz stavka 1. ovoga članka prilažu se informacije iz članka 17. stavaka 1. i 2. ove Odluke koje će po ugovaranju eksternalizacije sadržavati registar.

(4) Ako pružatelj usluga ima sjedište i/ili posluje u trećim zemljama, kreditna institucija dužna je dokazati da propisi države odnosno država u kojima pružatelj usluga posluje omogućuju Hrvatskoj narodnoj banci:

1) da u svrhu postizanja ciljeva supervizije obavi neposredni nadzor dijela poslovanja pružatelja usluga koji ima veze ili se može dovesti u vezu s eksternalizacijom, kao i neposredni nadzor obavljanja funkcija koje su predmet ugovora i

2) pravodoban i neograničen pristup dokumentaciji i podacima koji su povezani s eksternalizacijom, a u posjedu su pružatelja usluga.

(5) Osim informacija navedenih u stavcima 3. i 4. ovoga članka, Hrvatska narodna banka može zatražiti i druge informacije koje ocijeni potrebnima za procjenu ispunjenosti uvjeta za eksternalizaciju propisanih Zakonom o kreditnim institucijama i ovom Odlukom.

VII. PRIJELAZNE I ZAVRŠNE ODREDBE

Stupanje na snagu i primjena

Članak 19.

(1) Kreditna institucija dužna je najkasnije do 31. prosinca 2020. uskladiti svoje interne akte s ovom Odlukom.

(2) Kreditna institucija dužna je pri prvoj izmjeni postojećih ugovora s pružateljima usluga, a najkasnije do 31. prosinca 2021., revidirati i, ako je potrebno, izmijeniti postojeće ugovore kojima su ugovorene postojeće eksternalizacije kako bi osigurala njihovu usklađenost s ovom Odlukom.

(3) Iznimno od stavka 2. ovoga članka, ako kreditna institucija ne može provesti izmjenu ugovora s pružateljima usluga o eksternalizaciji ključnih ili važnih funkcija do 31. prosinca 2021., kreditna institucija dužna je pravodobno, a najkasnije do 30. lipnja 2021., obavijestiti Hrvatsku narodnu banku o mjerama planiranima za dovršetak revizije ili mogućoj izlaznoj strategiji.

(4) Kreditna institucija dužna je u skladu s ovom Odlukom najkasnije do 31. prosinca 2021. dopuniti registar eksternalizacija informacijama o svim postojećim eksternalizacijama.

(5) Iznimno od stavka 4. ovoga članka, kreditna institucija dužna je danom stupanja na snagu ove Odluke registar popuniti svim ugovorima s pružateljima usluga računarstva u oblaku.

(6) Iznimno od članka 17. stavka 3. ove Odluke, kreditna institucija dužna je najkasnije do 30. lipnja 2021. dostaviti Hrvatskoj narodnoj banci registar svih eksternalizacija sa stanjem na dan 31. prosinca 2020. koje su ugovorene od dana stupanja na snagu ove Odluke.

(7) Danom stupanja na snagu ove Odluke prestaje važiti Odluka o eksternalizaciji (»Narodne novine«, br. 1/2009., 75/2009., 2/2010. i 159/2013.).

(8) Ova Odluka objavit će se u »Narodnim novinama«, a stupa na snagu osmoga dana od dana objave u »Narodnim novinama«, osim odredbe članka 10. stavka 2. točke 2. ove Odluke, koja stupa na snagu 31. prosinca 2021.

O.br: 311-020/10-20/BV

Zagreb, 12. listopada 2020.

Guverner Boris Vujčić, v. r.

 

 

 

Izvor: https://narodne-novine.nn.hr/clanci/sluzbeni/2020_10_118_2302.html

Copyright © Ante Borić