Rekomendacje FinTech Poland do projektu wytycznych EBA w zakresie ryzyka podmiotów trzecich

04.12.2025


W ostatnim czasie, w ramach prac Grupy Roboczej ds. DORA, przeprowadzono konsultacje projektu wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA) dotyczących prawidłowego zarządzania ryzykiem wynikającym ze współpracy z podmiotami trzecimi.

Efektem przeprowadzonych konsultacji było opracowanie dokumentu zawierającego stanowisko Fundacji FinTech Poland, stanowiącego odpowiedź na projekt wytycznych.

Na szczególne podkreślenie zasługuje udział oraz merytoryczne wsparcie ze strony naszego partnera – PwC Legal oraz jego przedstawicieli: mec. Łukasza Łyczko, mec. Jakuba Derulskiego, mec. Konrada Frąckowiaka oraz mec. Aleksandry Bańkowskiej, którym serdecznie dziękujemy za zaangażowanie oraz eksperckie opracowanie wybranych zagadnień.

W ramach konsultacji odbyły się dwa spotkania:

🔹 Pierwsze spotkanie – 4 września 2025 r.

Podczas tego spotkania omówiony został cel konsultacji oraz przedstawiono ogólne podsumowanie proponowanych przez EBA zmian. Zaprezentowano również dwa przykładowe pytania, aby zilustrować preferowany sposób pracy nad dokumentem. Uczestnicy zostali zaproszeni również do zgłaszania uwag i komentarzy.

🔹 Drugie spotkanie – 29 września 2025 r.

Spotkanie było poświęcone analizie zebranych uwag i potwierdzeniu wspólnego kierunku stanowiska. Dyskusja skupiła się na doprecyzowaniu najważniejszych wniosków dotyczących zarządzania ryzykiem związanym z podmiotami trzecimi.

W ramach dokumentu zaproponowano następujące zmiany w Wytycznych EBA:

  1. Skoncentrowanie na outsourcingu wysokiego ryzyka; jasne wyłączenia i progi dla pozostałych relacji.
  2. Zwiększenie przejrzystości regulacyjnej i efektywności poprzez:
    • ustanowienie jasnych zasad rozstrzygania konfliktów między nakładającymi się regulacjami (DORA, EBA, przepisy krajowe),
    • ujednolicenie rejestrów relacji z podmiotami trzecimi,
    • ponowne wprowadzenie kryterium „niemożności świadczenia usług wewnętrznie” jako podstawy do zróżnicowanego traktowania relacji outsourcingowych.
  3. Doprecyzowanie terminologii (np. „systemy płatności”).
  4. Rozszerzenie wyłączeń dla usług niskiego ryzyka.
  5. Doprecyzowanie Strategii i Polityki Zarządzania Ryzykiem Stron Trzecich – jedna spójna polityka i odpowiedzialna jednostka.
  6. Umożliwienie instytucjom finansowym  elastycznego stosowania klauzul umownych oraz wymogów informacyjnych, zamiast stosowania jednolitego, sztywnego podejścia („one-size-fits-all”).
  7. Doprecyzowanie zakresu Aneksu I poprzez jego zawężenie, tak aby obejmował wyłącznie funkcje bezpośrednio wpływające na bezpieczeństwo finansowe, ochronę danych, odporność operacyjną lub zgodność regulacyjną, przy jednoczesnym wprowadzeniu jasnych kryteriów włączenia/wyłączenia.

Dokument, zawierający stanowisko Fundacji FinTech Poland w sprawie projektu wytycznych EBA dotyczących zarządzania ryzykiem w relacjach z podmiotami trzecimi, został oficjalnie przekazany do Europejskiego Urzędu Nadzoru Bankowego w ramach trwających konsultacji. Stanowi on formalną odpowiedź na projekt wytycznych i przedstawia rekomendacje, które zostały wypracowane w ramach prac Grupy Roboczej ds. DORA.

Gabriela Kocurek

Specjalizacje

Specjalizuje się w prawie nowych technologii i regulacji rynków finansowych, prawie własności intelektualnej, prawie ochrony danych osobowych oraz prawie zamówień publicznych. 

Jest ekspertem w obszarze regulacji dotyczących usług chmurowych oraz outsourcingu usług IT, z uwzględnieniem specyfiki sektora finansowego. Wspiera klientów w obszarze zamówień publicznych, z uwzględnieniem specyfiki zamówień w sektorze IT.


Doświadczenie

Doradza w szczególności klientom z branży FinTech, IT, cyberbezpieczeństwa, e-commerce i branży nowych technologii:

  • Posiada bogate doświadczenie w przygotowywaniu i negocjowaniu umów IT, umów wdrożeniowych oraz umów na świadczenie usług IT w modelu SaaS a także umów licencyjnych, dotyczących przeniesienia know-how, transferu praw własności intelektualnej jak również umów dotyczących komercjalizacji wyników prac badawczo – rozwojowych.
  • Wspiera klientów z sektora FinTech w dostosowaniu umów i wdrażaniu wymogów regulacyjnych właściwych dla sektora finansowego. Doradza i wspiera klientów w negocjowaniu umów IT w reżimie outsourcingu bankowego, inwestycyjnego, chmury obliczeniowej i outsourcingu w rozumieniu wytycznych EBA.
  • Doradza w zakresie umów IT oraz ochrony danych osobowych podmiotom z branży IT Security.
  • Współuczestniczyła w audycie procedur ochrony danych osobowych w grupie spółek o zasięgu globalnym.
  • Doradza klientom w zakresie prowadzenia kampanii marketingowych o zasięgu międzynarodowym.
  • Wspiera klientów kancelarii w postępowaniach o udzielenie zamówień publicznych. Doradzała klientowi kancelarii w postępowaniu o udzielenie zamówienia publicznego na wdrożenie Platformy Kanałów Elektronicznych przez Bank Gospodarstwa Krajowego oraz z sukcesem reprezentowała klienta w postępowaniu dotyczącym tego zamówienia przed Krajową Izbą Odwoławczą.


Kwalifikacje i uprawnienia zawodowe

Radca prawny przy Okręgowej Izbie Radców Prawnych w Krakowie.

Absolwentka studiów podyplomowych na kierunku Prawo Zamówień Publicznych na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.

Absolwentka studiów magisterskich na kierunku Prawo na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego.

Absolwentka studiów licencjackich i magisterskich na kierunku Administracja na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego.