Tiesību akts: spēkā esošs
Finanšu un kapitāla tirgus komisijas normatīvie noteikumi Nr. 84

Rīgā 2021. gada 6. jūlijā

(Finanšu un kapitāla tirgus komisijas padomes
sēdes protokols Nr. 29 4. p.)
Normatīvie noteikumi par ārpakalpojumu izmantošanu
Izdoti saskaņā ar Kredītiestāžu likuma
10.1 panta divdesmito daļu
I. Vispārīgie jautājumi

1. "Normatīvie noteikumi par ārpakalpojumu izmantošanu" (turpmāk – noteikumi) ir saistoši Latvijas Republikā reģistrētām kredītiestādēm (turpmāk – iestāde), kuras izmanto ārpakalpojumus savu funkciju veikšanai.

2. Noteikumi nosaka:

2.1. prasības ārpakalpojumu izmantošanai;

2.2. kārtību, kādā iestāde identificē nozīmīgus ārpakalpojumus un ziņo par to grozījumiem, kā arī darījumus, kas nav uzskatāmi par ārpakalpojumiem;

2.3. Finanšu un kapitāla tirgus komisijai (turpmāk – Komisija) iesniedzamos dokumentus un informāciju nozīmīgu ārpakalpojumu saņemšanai;

2.4. ārpakalpojumu politikā un procedūrās iekļaujamās prasības;

2.5. nozīmīgu ārpakalpojumu līgumos iekļaujamās prasības;

2.6. kārtību, kādā iestāde ziņo Komisijai par nozīmīgu ārpakalpojumu tālāku deleģēšanu.

3. Iestāde ievēro šo noteikumu prasības individuāli, konsolidācijas grupas līmenī vai subkonsolidēti.

4. Iestādēm, kuru uzraudzību veic Eiropas Centrālā banka, šie noteikumi piemērojami, ciktāl tie nav pretrunā ar Eiropas Centrālās bankas noteiktajām prasībām ārpakalpojumu izmantošanai.

5. Noteikumus ieteicams piemērot Latvijas Republikā licencētām maksājumu iestādēm un elektroniskās naudas iestādēm, ja tās izmanto ārpakalpojumus savu funkciju veikšanai.

6. Piemērojot noteikumos ietvertās prasības, iestāde ņem vērā tās lielumu, darbības veidu, sarežģītību, ārpakalpojumu sniedzējiem deleģēto funkciju apjomu, riskus, kas saistīti ar ārpakalpojumu līgumu izpildi, un ārpakalpojumu iespējamo ietekmi uz iestādes darbības nepārtrauktību, kā arī nodrošina nepieciešamos resursus, tostarp speciālistus ar atbilstošu kvalifikāciju un pieredzi.

7. Noteikumos lietoto terminu skaidrojums:

7.1. ārpakalpojumu līgums – rakstveida vienošanās starp iestādi un pakalpojumu sniedzēju par iestādes funkciju deleģēšanu ārpakalpojumu sniedzējam;

7.2. funkcija – jebkurš process, pakalpojums vai citas darbības;

7.3. kritiski svarīga vai nozīmīga funkcija – funkcija, kuru iestāde atbilstoši šo noteikumu V nodaļā noteiktajam novērtējumam ir identificējusi kā kritiski svarīgu vai nozīmīgu;

7.4. nozīmīgs ārpakalpojums – ārpakalpojums, kurā ārpakalpojumu sniedzējam deleģēta kritiski svarīgu vai nozīmīgu funkciju izpilde;

7.5. vadības struktūra – iestādes padome un valde;

7.6. mākoņpakalpojumi – pakalpojumi, kas tiek sniegti, izmantojot mākoņdatošanu, tas ir, modelis, kas nodrošina visur esošu, ērtu un pēc pieprasījuma pieejamu tīkla piekļuvi koplietojamam un konfigurējamam skaitļošanas resursu kopumam, tai skaitā tīkliem, serveriem, datu glabātuvēm, lietojumprogrammām un pakalpojumiem, kurus var ātri nodrošināt un pārvaldīt ar minimālu pakalpojumu sniedzēja iesaisti;

7.7. ārpakalpojuma sniegšanas tālāka deleģēšana – situācija, kad ārpakalpojumu sniedzējs tam deleģēto iestādes funkciju deleģē tālāk citam pakalpojumu sniedzējam (apakšuzņēmējam);

7.8. pārējo terminu lietojums atbilst Kredītiestāžu likuma terminu lietojumam.

II. Ārpakalpojumi, ko izmanto grupas ietvaros

8. Iestāde, kas ir mātes sabiedrība, nodrošina grupas līmeņa politikas un procedūru ieviešanu ārpakalpojumu izmantošanas jomā attiecībā uz visām meitas sabiedrībām, kas iekļautas konsolidācijas grupā vai subkonsolidācijas grupā, saskaņā ar Eiropas Parlamenta un Padomes 2013. gada 26. jūnija Regulu (ES) Nr. 575/2013 par prudenciālajām prasībām attiecībā uz kredītiestādēm, un ar ko groza Regulu (ES) Nr. 648/2012, ņemot vērā attiecīgās valsts, kurā atrodas meitas sabiedrība, normatīvo aktu prasības, kā arī uzrauga to īstenošanu.

9. Iestāde atbilstoši konsolidācijas grupā vai subkonsolidācijas grupā ieviestiem centralizēti nodrošinātiem iekšējās pārvaldības pasākumiem ievēro šādas prasības:

9.1. gadījumos, kad iestāde deleģē savas funkcijas ārpakalpojumu sniedzējam grupas ietvaros, tās vadības struktūra saglabā pilnu atbildību par normatīvo aktu prasību ievērošanu un nodrošina atbilstību šo noteikumu prasībām;

9.2. ja grupas ietvaros ārpakalpojumu sniedzējam tiek deleģētas iekšējās kontroles funkcijas, iestāde nodrošina šo funkciju efektīvu izpildi un saņem visu uzraudzībai un revīzijai nepieciešamo informāciju, tostarp ziņojumus.

10. Papildus šo noteikumu 9. punktā minētajam iestāde ņem vērā šādus nosacījumus:

10.1. iestāde nodrošina, ka ir iespējama ārpakalpojumu sniedzēju, kuriem deleģētas kritiski svarīgas vai nozīmīgas funkcijas, neatkarīga uzraudzība un kontrole (ziņojumu saņemšana, informācija par riska novērtēšanas un darbības uzraudzības rezultātiem);

10.2. iestādes vadības struktūra saņem informāciju par plānotajām izmaiņām attiecībā uz centralizēti uzraudzītiem ārpakalpojumu sniedzējiem un plānoto izmaiņu iespējamo ietekmi uz kritiski svarīgām vai nozīmīgām funkcijām, tostarp veiktā riska novērtējuma kopsavilkumu;

10.3. ja pirms ārpakalpojumu saņemšanas iestādes funkciju un pakalpojumu sniedzēja riska novērtējums tiek veikts centralizēti, iestāde konsolidācijas grupas vai subkonsolidācijas grupas ietvaros saņem veiktā novērtējuma kopsavilkumu un lēmumu pieņemšanas procesā tiek ņemta vērā katras iestādes struktūra un riski;

10.4. ja ir izveidots un tiek uzturēts centralizēts visu ārpakalpojumu reģistrs, Komisijai un katrai grupas iestādei ir tiesības un iespēja bez liekas kavēšanās iegūt informāciju par visu reģistru vai to reģistra daļu, kas attiecas tikai uz konkrētu iestādi, tostarp līgumiem ar pakalpojumu sniedzējiem grupas ietvaros;

10.5. ja iestāde paļaujas uz konsolidācijas grupā vai subkonsolidācijas grupā kritiski svarīgai vai nozīmīgai funkcijai noteikto ārpakalpojumu izbeigšanas stratēģiju (exit strategy), iestāde saņem stratēģijas kopsavilkumu un pārliecinās, ka plānu var efektīvi izpildīt.

III. Analīze pirms ārpakalpojumu izmantošanas

11. Pirms ārpakalpojumu izmantošanas iestāde:

11.1. novērtē, vai funkcija, kuru plānots deleģēt ārpakalpojumu sniedzējam, ir kritiski svarīga vai nozīmīga atbilstoši šo noteikumu V nodaļā noteiktajam;

11.2. pārliecinās, ka ir izpildīti ārpakalpojumu uzraudzības nosacījumi, kas noteikti šo noteikumu 12. un 13. punktā;

11.3. identificē un novērtē visus būtiskos riskus saskaņā ar šo noteikumu X nodaļā noteikto;

11.4. veic pakalpojumu sniedzēja piemērotības pārbaudi saskaņā ar šo noteikumu XI nodaļā minētajiem kritērijiem;

11.5. identificē un novērtē iespējamos interešu konfliktus un veic nepieciešamos pasākumus to pārvaldīšanai.

IV. Ārpakalpojumu izmantošanas uzraudzība

12. Iestāde nodrošina, ka finanšu pakalpojumu, kuru sniegšanai ir nepieciešams saņemt Komisijas atļauju (licenci) un nodrošināt to atbilstību normatīvajos aktos noteiktajām prasībām, deleģēšana Latvijā vai dalībvalstī reģistrētam ārpakalpojumu sniedzējam notiek tikai tad, ja Komisija vai dalībvalsts uzraudzības institūcija ir devusi atļauju pakalpojumu sniedzējam veikt šādas darbības vai sniegt pakalpojumus.

13. Iestāde nodrošina, ka finanšu pakalpojumu, kuru sniegšanai ir nepieciešams saņemt Komisijas atļauju (licenci) un nodrošināt to atbilstību normatīvajos aktos noteiktajām prasībām, deleģēšana ārpus dalībvalsts reģistrētam ārpakalpojumu sniedzējam notiek tikai tad, ja ir izpildīti šādi nosacījumi:

13.1. pakalpojumu sniedzējs ir saņēmis atļauju veikt šādas darbības vai sniegt pakalpojumus ārpus dalībvalsts un to uzrauga attiecīgās valsts uzraudzības institūcija;

13.2. starp Komisiju un attiecīgās pakalpojumu sniedzēja valsts uzraudzības institūciju ir noslēgts atbilstošs sadarbības līgums (piemēram, parakstīts saprašanās memorands vai izveidota kolēģija).

V. Iestādes funkciju novērtējums

14. Lemjot par funkciju deleģēšanu ārpakalpojumu sniedzējam, iestāde novērtē, vai pēc funkciju deleģēšanas tā turpinās nodrošināt stabilu un ilgtspējīgu darbību.

15. Iestāde novērtē, vai uz plānoto līgumu ar ārpakalpojumu sniedzēju attiecināma Kredītiestāžu likuma 1. panta pirmās daļas 68. punktā minētā ārpakalpojuma definīcija, ņemot vērā to, vai funkcija (vai tās daļa), kuru plānots deleģēt ārpakalpojumu sniedzējam, tiek veikta pastāvīgi un vai šo funkciju (vai tās daļu) veic vai varētu veikt pati iestāde, pat ja tā iepriekš nekad šo funkciju nav veikusi.

16. Ja līgums ar ārpakalpojumu sniedzēju aptver vairākas funkcijas, iestāde to ņem vērā, veicot šo funkciju novērtējumu.

17. Iestāde par ārpakalpojumiem neuzskata:

17.1. funkcijas, kuras atbilstoši normatīvo aktu prasībām iestāde nevar veikt pati, piemēram, tiesību aktos noteikto finanšu pārskatu revīziju vai pārbaudes;

17.2. tirgus informācijas pakalpojumus (piemēram, Bloomberg, Moody’s, Standard & Poor’s, Fitch datu sniegšanu);

17.3. vienošanās par globālas tīkla infrastruktūras (piemēram, Visa, MasterCard) izmantošanu;

17.4. klīringa un norēķinu vienošanās starp klīringa iestādēm, centrālajiem darījumu starpniekiem un norēķinu iestādēm;

17.5. globālas finanšu ziņapmaiņas infrastruktūras, ko pārrauga attiecīgās iestādes, izmantošanu;

17.6. korespondentbanku pakalpojumus;

17.7. pakalpojumus, kurus iestāde citādi neveiktu (piemēram, arhitektu konsultācijas, juridiskās konsultācijas un pārstāvība tiesā vai citās pārvaldes iestādēs, telpu uzkopšana, dārzkopība un uzturēšana, medicīnas pakalpojumi, uzņēmuma automobiļu apkalpošana, ēdināšanas pakalpojumi, tirdzniecības automātu pakalpojumi, kancelejas pakalpojumi, ceļojumu pakalpojumi, pasta pakalpojumi, reģistratori, sekretāri un sadales pults operatori, preču nodrošināšana (piemēram, plastmasas kartes, karšu lasītāji, biroja piederumi, personālie datori, mēbeles) vai komunālie pakalpojumi (piemēram, elektrība, gāze, ūdens, telefona līnija)).

18. Lai noteiktu, vai funkcija, kuru plānots deleģēt ārpakalpojumu sniedzējam, uzskatāma par kritiski svarīgu vai nozīmīgu, iestāde veic novērtējumu un to atbilstoši dokumentē.

19. Iestāde funkciju uzskata par kritiski svarīgu vai nozīmīgu, ja:

19.1. minētās funkcijas nepietiekamas izpildes vai neizpildes rezultātā būtiski pasliktinātos iestādes:

19.1.1. pastāvīga atbilstība tās darbību regulējošo normatīvo aktu prasībām;

19.1.2. finanšu rādītāji;

19.1.3. sniegto pakalpojumu un darbības stabilitāte vai nepārtrauktība;

19.2. tiek deleģēta iestādes iekšējās kontroles funkcija vai tās daļa, izņemot gadījumus, kad novērtējumā ir konstatēts, ka ārpakalpojumu sniedzējam deleģētās funkcijas neizpilde vai neatbilstoša izpilde nerada negatīvu ietekmi uz iestādes iekšējās kontroles funkcijas efektivitāti;

19.3. ārpakalpojumu sniedzējam tiek deleģēti iestādes finanšu pakalpojumi, kuru sniegšanai ir nepieciešams saņemt Komisijas atļauju (licenci) atbilstoši šo noteikumu IV nodaļā noteiktajam.

20. Iestādes funkciju uzskata par kritiski svarīgu vai nozīmīgu, ja tā nepieciešama Kredītiestāžu un ieguldījumu brokeru sabiedrību darbības atjaunošanas un noregulējuma likuma 1. panta pirmās daļas 15. un 27. punktā noteiktās iestādes galvenās darbības jomas vai kritiski svarīgu funkciju nodrošināšanai, kuras tiek identificētas atbilstoši Regulas (ES) 2016/7781 6. un 7. pantā noteiktajiem kritērijiem, izņemot gadījumus, kad iestādes novērtējumā ir konstatēts, ka šo funkciju neizpilde vai neatbilstoša izpilde nerada negatīvu ietekmi uz galvenās darbības jomas vai kritiski svarīgu funkciju darbības nepārtrauktību.

21. Novērtējot, vai plānotā ārpakalpojumu izmantošana attiecas uz kritiski svarīgu vai nozīmīgu funkciju, iestāde ņem vērā šo noteikumu X nodaļā minētā riska novērtējuma rezultātus, kā arī vismaz šādus faktorus:

21.1. to, vai ārpakalpojumu izmantošana ir tieši saistīta ar iestādes finanšu pakalpojumiem, kuru sniegšanai ir saņemta Komisijas atļauja (licence);

21.2. jebkādu traucējumu ietekmi uz ārpakalpojumu sniedzējam deleģētās funkcijas izpildi vai pakalpojumu sniedzēja nespēju pastāvīgi sniegt pakalpojumu tādā līmenī, kā to paredz līguma nosacījumi, un tā iespējamo ietekmi uz iestādes:

21.2.1. īstermiņa un ilgtermiņa finanšu noturību un dzīvotspēju, tostarp tās aktīviem, kapitālu, izmaksām, finansējumu, likviditāti, peļņu un zaudējumiem;

21.2.2. darbības nepārtrauktību un darbības noturību;

21.2.3. operacionālo risku, tostarp rīcības (conduct), informācijas un komunikācijas tehnoloģiju un juridiskajiem riskiem;

21.2.4. reputācijas risku;

21.2.5. ja attiecināms, darbības atjaunošanas un noregulējuma plānošanu, noregulējamību un darbības nepārtrauktību agrīnās intervences, darbības atjaunošanas vai noregulējuma pasākumu gadījumā;

21.3. ārpakalpojumu izmantošanas iespējamo ietekmi uz iestādes spēju:

21.3.1. noteikt, uzraudzīt un pārvaldīt visus riskus;

21.3.2. nodrošināt atbilstību visām juridiskajām un regulējošajām prasībām;

21.3.3. veikt atbilstošas revīzijas attiecībā uz ārpakalpojumu sniedzējam deleģētajām funkcijām;

21.4. iespējamo ietekmi uz klientiem sniegtajiem pakalpojumiem;

21.5. iespējamo ietekmi uz visu ārpakalpojumu izmantošanu iestādē, vienam ārpakalpojumu sniedzējam deleģēto funkciju apjomu un iespējamo ietekmi uz ārpakalpojumu izmantošanu vienā un tajā pašā iestādes darbības jomā;

21.6. katras darbības jomas, uz kuru attiecas noslēgtais līgums par ārpakalpojumu izmantošanu, lielumu un sarežģītību;

21.7. iespēju paplašināt funkciju tvērumu vai apjomu plānotajā ārpakalpojuma līgumā, negrozot to;

21.8. iespēju nepieciešamības gadījumā ārpakalpojumu sniedzējam deleģēto funkciju nodot citam pakalpojumu sniedzējam, tostarp paredzamos riskus, ietekmi uz iestādes darbības nepārtrauktību, kā arī izmaksas un laika grafiku šādu darbību veikšanai;

21.9. iespēju ārpakalpojumu sniedzējam deleģētās funkcijas izpildi pārņemt atpakaļ iestādē, ja tas ir nepieciešams vai vēlams;

21.10. fiziskas personas datu aizsardzību un iespējamo ietekmi uz privātumu, ko radītu iespējams konfidencialitātes pārkāpums vai nespēja nodrošināt datu pieejamību un integritāti, attiecībā uz iestādi un tās klientiem, ievērojot Regulas (ES) Nr. 2016/6792 prasības.

VI. Ārpakalpojumu izmantošanas pārvaldība

22. Iestāde saskaņā ar prasībām, kas noteiktas Komisijas normatīvajos noteikumos par iekšējās kontroles sistēmas izveidi, identificē un pārvalda visus būtiskos ar ārpakalpojumu saņemšanu saistītos riskus, tai skaitā riskus, ko rada vienošanās ar trešajām personām, nodrošina to mērīšanu, novērtēšanu, kontroli un riska pārskatu sagatavošanu. Iestāde pieņem pamatotus lēmumus par riska uzņemšanos un nodrošina, ka riska pārvaldības pasākumi tiek atbilstoši īstenoti, tostarp attiecībā uz kiberriskiem3.

23. Iestāde, ņemot vērā šo noteikumu 6. punktā noteikto proporcionalitātes principu, identificē, novērtē, uzrauga un pārvalda visus riskus, kuri izriet no vienošanās ar trešajām personām un kuri uz tām attiecas vai varētu attiekties neatkarīgi no tā, vai šī vienošanās ir uzskatāma par ārpakalpojumu. Risku novērtējumu veic atbilstoši šo noteikumu X nodaļā noteiktajām prasībām.

24. Iestāde nodrošina atbilstību Regulā (ES) 2016/679 noteiktajām prasībām par fizisku personu datu aizsardzību, izmantojot apstrādātāju, tostarp attiecībā uz ārpakalpojumu sniedzējiem deleģētajām funkcijām un jebkuru vienošanos ar trešajām personām.

25. Deleģējot funkcijas ārpakalpojumu sniedzējam, iestādes vadības struktūra nodrošina Komisijas normatīvo noteikumu par iekšējās kontroles sistēmas izveidi un iestādes darbību regulējošo normatīvo aktu ievērošanu attiecībā uz ārpakalpojumu sniedzējiem deleģēto kritiski svarīgo vai nozīmīgo funkciju pārraudzību.

26. Iestāde nodrošina, ka ārpakalpojumu izmantošana nemazina prasības, kuras piemēro iestādes vadības struktūras locekļu piemērotības novērtēšanai, tostarp nodrošina, ka tās vadības struktūras locekļiem ir kolektīvi pietiekama kompetence un atbilstoša kvalifikācija ārpakalpojumu pārvaldībai un uzraudzībai.

27. Lai nodrošinātu ārpakalpojumu pārvaldību un uzraudzību, iestāde:

27.1. skaidri nosaka pienākumus ārpakalpojumu izmantošanas dokumentācijas sagatavošanai, pārvaldībai un kontrolei;

27.2. nodrošina pietiekamus resursus, lai ārpakalpojumu izmantošanas pārvaldību, uzraudzību un dokumentācijas sagatavošanu veiktu atbilstoši normatīvo aktu prasībām;

27.3. izveido struktūrvienību vai ieceļ atbildīgo personu, kura ir tieši pakļauta vadības struktūrai (piemēram, personu, kura pilda pamatfunkcijas) un kura atbilstoši iestādes iekšējiem normatīvajiem aktiem ir atbildīga par šo noteikumu prasību izpildi, ārpakalpojumu izmantošanas risku pārvaldību un uzraudzību, kā arī par ārpakalpojumu izmantošanai nepieciešamās dokumentācijas pārraudzību. Mazas un nesarežģītas iestādes nodrošina vismaz skaidru uzdevumu un pienākumu sadalījumu attiecībā uz ārpakalpojumu izmantošanas pārvaldību un kontroli un var deleģēt par ārpakalpojumu izmantošanu atbildīgās personas pienākumus iestādes vadības struktūras loceklim.

28. Pieņemot lēmumu par funkciju deleģēšanu ārpakalpojumu sniedzējam, iestāde pēc šo funkciju deleģēšanas nodrošina:

28.1. atbilstību visiem iestādes darbības atļaujas (licences) piešķiršanas nosacījumiem, nodrošinot efektīvu vadības struktūras pienākumu veikšanu atbilstoši šo noteikumu 25. punktā noteiktajam;

28.2. skaidru un pārredzamu organizatorisko struktūru, kas ļauj nodrošināt atbilstību regulējošajām prasībām;

28.3. pienācīgu uzraudzību un spēju pārvaldīt riskus, ko rada kritiski svarīgu vai nozīmīgu funkciju deleģēšana ārpakalpojumu sniedzējiem, gadījumos, kad iekšējās kontroles sistēmas funkciju uzdevumus veic ārpakalpojumu sniedzējs (piemēram, ārpakalpojumu izmantošana konsolidācijas grupā vai subkonsolidācijas grupā);

28.4. pietiekamu resursu pieejamību, lai īstenotu atbilstību šo noteikumu 28.1.–28.3. punktā noteiktajām prasībām.

29. Izmantojot ārpakalpojumus, iestāde nodrošina, ka:

29.1. tā var pieņemt un īstenot lēmumus, kas saistīti ar tās darbību un kritiski svarīgu vai nozīmīgu funkciju veikšanu, tostarp to, kuras deleģētas ārpakalpojumu sniedzējiem;

29.2. tā atbilstoši savam darbības veidam var sniegt finanšu pakalpojumus;

29.3. riski, kas saistīti ar esošo un plānoto ārpakalpojumu izmantošanu, tostarp riski, kas saistīti ar informācijas un komunikācijas tehnoloģiju un finanšu tehnoloģiju (fintech) jomu, tiek pienācīgi identificēti, novērtēti, pārvaldīti un mazināti;

29.4. ir ieviesti nepieciešamie konfidencialitātes pasākumi attiecībā uz datiem un citu informāciju;

29.5. tiek īstenota efektīva informācijas apmaiņa ar ārpakalpojumu sniedzējiem;

29.6. deleģējot ārpakalpojumu sniedzējiem kritiski svarīgas vai nozīmīgas funkcijas, attiecīgajā laikposmā tā spēj veikt vismaz vienu no turpmāk minētajām darbībām:

29.6.1. deleģēt funkciju citam ārpakalpojumu sniedzējam;

29.6.2. pārņemt ārpakalpojumu sniedzējam deleģētās funkcijas izpildi atpakaļ iestādē;

29.6.3. pārtraukt iestādes darbību jomā, kas saistīta ar ārpakalpojumu sniedzējam deleģēto funkciju;

29.7. tiek veikti nepieciešamie pasākumi, lai nodrošinātu datu apstrādi saskaņā ar Regulu (ES) 2016/679 gadījumos, kad personas datus apstrādā ārpakalpojumu sniedzēji, kuri atrodas dalībvalstī vai ārvalstī.

30. Iestādes iekšējā audita funkcija, izmantojot uz risku izvērtējumu balstītu pieeju, veic neatkarīgu ārpakalpojumu sniedzējiem deleģēto funkciju un ārpakalpojumu izmantošanas procesa novērtējumu, īpaši attiecībā uz nozīmīgiem ārpakalpojumiem, un pārliecinās par:

30.1. iestādē izveidoto ārpakalpojumu izmantošanas procesu un tā efektivitāti;

30.2. kritiski svarīgo vai nozīmīgo funkciju identificēšanu un veiktā novērtējuma kvalitāti un efektivitāti;

30.3. veiktā ārpakalpojumu izmantošanas riska novērtējuma kvalitāti un efektivitāti un risku atbilstību iestādes riska stratēģijai;

30.4. vadības struktūras lomu;

30.5. ārpakalpojumu izmantošanas uzraudzību un pārvaldību iestādē.

VII. Ārpakalpojumu politikā un procedūrās iekļaujamās prasības

31. Iestāde, kura plāno saņemt ārpakalpojumu, izstrādā ārpakalpojumu politiku un procedūras, kuras regulāri pārskata un aktualizē. Ārpakalpojumu politiku un procedūras apstiprina iestādes vadības struktūra un nosaka tās piemērošanu individuāli, konsolidācijas grupas līmenī vai subkonsolidēti.

32. Ārpakalpojumu politikā un procedūrās ņem vērā Komisijas normatīvajos noteikumos par iekšējās kontroles sistēmas izveidi noteiktās prasības attiecībā uz jaunu finanšu pakalpojumu vai būtisku izmaiņu esošajos finanšu pakalpojumos ieviešanu.

33. Iestāde politikā un procedūrās iekļauj ārpakalpojumu izmantošanas procesa galvenos posmus, ārpakalpojumu izmantošanas principus, atbildību un pienākumus un nosaka vismaz:

33.1. vadības struktūras pienākumus atbilstoši šo noteikumu 25. punktā noteiktajam un lēmumu pieņemšanas procesu kritiski svarīgu vai nozīmīgu funkciju deleģēšanai ārpakalpojumu sniedzējiem;

33.2. iestādes iekšējās kontroles funkciju (tostarp risku kontroles, darbības atbilstības kontroles, iekšējā audita) un biznesa funkciju lomu, kā arī citu personu iesaistīšanu ārpakalpojumu izmantošanas procesā;

33.3. ārpakalpojumu izmantošanas plānošanu, tostarp:

33.3.1. prasības ārpakalpojumu izmantošanai;

33.3.2. kritiski svarīgu vai nozīmīgu funkciju noteikšanas kritērijus;

33.3.3. riska identificēšanas, novērtēšanas un pārvaldības kārtību;

33.3.4. prasības plānoto ārpakalpojumu sniedzēju piemērotības novērtēšanai, tostarp šo noteikumu XI nodaļā minētos pasākumus;

33.3.5. procedūras iespējamo interešu konfliktu identificēšanai, novērtēšanai, pārvaldībai un mazināšanai;

33.3.6. pasākumus darbības nepārtrauktības plānošanai saskaņā ar šo noteikumu VIII nodaļā noteikto;

33.3.7. jaunu ārpakalpojumu izmantošanas apstiprināšanas procesu;

33.4. ārpakalpojumu izmantošanas uzraudzību un pārvaldību, tostarp:

33.4.1. ārpakalpojumu sniedzēja pastāvīgu un regulāru izpildes novērtējumu saskaņā ar šo noteikumu XVII nodaļas prasībām;

33.4.2. procedūras, kas nosaka informācijas par izmaiņām attiecībā uz ārpakalpojumu izmantošanu vai ārpakalpojumu sniedzēju saņemšanu (piemēram, finansiālais stāvoklis, izmaiņas organizatoriskajā vai īpašumtiesību struktūrā, ārpakalpojumu tālāka deleģēšana);

33.4.3. neatkarīgu pārbaužu un revīzijas veikšanu, lai novērtētu atbilstību regulējošajām prasībām un politikas nostādnēm;

33.4.4. darbības atjaunošanas procesus;

33.5. ārpakalpojumu dokumentēšanu un reģistrēšanu, ņemot vērā šo noteikumu IX nodaļas prasības;

33.6. ārpakalpojumu izbeigšanas stratēģijas un sadarbības pārtraukšanas procesus, tostarp prasību sagatavot dokumentētu ārpakalpojumu izbeigšanas stratēģiju katrai kritiski svarīgai vai nozīmīgai funkcijai, kuru plānots deleģēt ārpakalpojumu sniedzējam, ja iestāde šādu pakalpojumu izbeigšanu uzskata par iespējamu, ņemot vērā potenciālo pakalpojumu sniegšanas pārtraukumu vai neplānotu ārpakalpojumu līguma pārtraukšanu.

34. Ārpakalpojumu politikā un procedūrās nosaka un atsevišķi nodala:

34.1. nozīmīgu ārpakalpojumu un pārējo ārpakalpojumu izmantošanas kārtību;

34.2. prasības ārpakalpojumiem, pirms kuru izmantošanas ir jāsaņem Komisijas atļauja;

34.3. kārtību tādu ārpakalpojumu izmantošanai, kurus sniedz konsolidācijas grupas vai subkonsoldācijas grupas ietvaros un ārpus tās;

34.4. kārtību tādu ārpakalpojumu izmantošanai, kurus deleģē ārpakalpojumu sniedzējiem, kas atrodas dalībvalstī, un ārpakalpojumu sniedzējiem, kas atrodas ārvalstī.

35. Iestāde nodrošina, ka politikā un procedūrās tiek iekļauti šādi nozīmīgu ārpakalpojumu izmantošanas iespējamās ietekmes aspekti un tie tiek ņemti vērā lēmumu pieņemšanas procesā:

35.1. iestādes riska profils;

35.2. iestādes spēja pārraudzīt ārpakalpojumu sniedzēju un pārvaldīt atbilstošos riskus;

35.3. darbības nepārtrauktības pasākumi;

35.4. iestādes darbības rezultāti.

VIII. Darbības nepārtrauktības plāni

36. Iestāde saskaņā ar Komisijas normatīvajos noteikumos par iekšējās kontroles sistēmas izveidi noteiktajām prasībām ievieš, uztur un regulāri pārbauda darbības nepārtrauktības plānu attiecībā uz ārpakalpojumu sniedzējiem deleģētajām kritiski svarīgām vai nozīmīgām funkcijām. Iestāde var paļauties uz tās mātes sabiedrības centralizēti izveidotiem darbības nepārtrauktības plāniem attiecībā uz to ārpakalpojumu sniedzējiem deleģētajām funkcijām.

37. Darbības nepārtrauktības plānos paredz situācijas, kad ārpakalpojumu sniedzējiem deleģētu kritiski svarīgu vai nozīmīgu funkciju nodrošināšanas kvalitāte pasliktinās līdz kritiskam līmenim vai tās netiek pildītas. Plānos ietver arī ārpakalpojumu sniedzēja maksātnespējas vai citu apstākļu (piemēram, darbības pārtraukšana vai ierobežojumu noteikšana, tiesvedības procesi) iespējamo ietekmi, veicamos pasākumus un attiecīgā gadījumā arī ar ārpakalpojumu sniedzēju saistītos politiskos riskus.

IX. Ārpakalpojumu reģistrs

38. Iestāde izveido, pastāvīgi uztur un aktualizē informācijas reģistru par visām līgumiskajām saistībām ar ārpakalpojumu sniedzējiem un tajā iekļauj vismaz šādu informāciju:

38.1. katra ārpakalpojuma identifikācijas numuru;

38.2. līguma spēkā stāšanās vai ārpakalpojumu saņemšanas uzsākšanas datumu un, ja iespējams, nākamā līguma atjaunošanas datumu, beigu datumu vai paziņošanas par līguma izbeigšanos termiņu attiecībā uz ārpakalpojumu sniedzēju un iestādi;

38.3. ārpakalpojumu sniedzējam deleģētās funkcijas īsu aprakstu, tostarp informāciju par datiem, kas nodoti ārpakalpojumu sniedzējam ārpakalpojumu nodrošināšanai, un atsauci uz personas datu apstrādes reģistrā iekļauto informāciju;

38.4. iestādes piešķirto ārpakalpojuma kategoriju, kas raksturo ārpakalpojumu sniedzējam deleģētās funkcijas būtību (piemēram, informācijas un komunikācijas tehnoloģijas, kontroles funkcija);

38.5. ārpakalpojumu sniedzēja nosaukumu, uzņēmuma reģistrācijas numuru, juridiskās personas identifikatoru (ja pieejams), juridisko adresi un citu kontaktinformāciju, kā arī pakalpojumu sniedzēja mātes sabiedrības nosaukumu (ja tāda ir);

38.6. valsti vai valstis, kurās paredzēts sniegt pakalpojumu, kā arī datu atrašanās vietu (valsti vai reģionu);

38.7. norādi, vai ārpakalpojumu sniedzējam deleģētā funkcija ir kritiski svarīga vai nozīmīga, kā arī, ja nepieciešams, novērtējuma pamatojumu;

38.8. ja funkcijas tiek deleģētas mākoņpakalpojumu sniedzējam, norāda mākoņpakalpojumu un izvietošanas modeļus (publiski, privāti, hibrīdi vai kopienas mēroga), kā arī saglabājamo datu īpatnības un atrašanās vietas (valstis vai reģionus), kur šie dati tiks glabāti;

38.9. norādi par datumu, kad veikts ārpakalpojumu sniedzējam deleģētās funkcijas nozīmīguma vai kritiskā svarīguma novērtējums.

39. Reģistrā informāciju par ārpakalpojumu sniedzējiem deleģētajām kritiski svarīgajām vai nozīmīgajām funkcijām nošķir no pārējiem ārpakalpojumiem un papildus iekļauj vismaz šādu informāciju:

39.1. iestādes un citas sabiedrības, kuras konsolidācijas grupā vai subkonsolidācijas grupā izmanto ārpakalpojumus;

39.2. norādi, vai pakalpojumu sniedzējs vai apakšuzņēmējs ir vai nav daļa no konsolidācijas grupas vai subkonsolidācijas grupas;

39.3. norādi, kad veikts riska novērtējums, un īsu galveno rezultātu kopsavilkumu;

39.4. iestādes vadības struktūru, kas apstiprinājusi ārpakalpojuma izmantošanu;

39.5. ārpakalpojumu līgumu regulējošos tiesību aktus;

39.6. norādi par veikto un, ja ir zināmi, tad arī plānoto pārbaužu vai revīziju datumiem;

39.7. ja attiecas – to apakšuzņēmēju nosaukumus, kuriem tiks deleģētas tālāk kritiski svarīgu vai nozīmīgu funkciju būtiskas daļas, kā arī valsti, kurā reģistrēti apakšuzņēmēji, kurā pakalpojums tiks sniegts, un vajadzības gadījumā atrašanās vietu (valsti vai reģionu), kurā tiks glabāti dati;

39.8. ārpakalpojumu sniedzēja aizstājamības novērtējuma rezultātus (viegli, grūti vai neiespējami), iespēju pārņemt atpakaļ iestādē ārpakalpojumu sniedzējam deleģētās kritiski svarīgās vai nozīmīgās funkcijas izpildi vai ietekmes novērtējumu gadījumā, ja plānots atteikties no kritiski svarīgas vai nozīmīgas funkcijas veikšanas;

39.9. alternatīvu ārpakalpojumu sniedzēju identificēšanu saskaņā ar šo noteikumu 39.7. punktu;

39.10. norādi, vai ārpakalpojumu sniedzējam deleģētās kritiski svarīgās vai nozīmīgās funkcijas izpilde ir steidzama (supports business operations that are time-critical);

39.11. plānotās gada budžeta izmaksas.

40. Iestāde pēc Komisijas pieprasījuma sniedz pilnu reģistra informāciju vai atsevišķu tā informācijas daļu (piemēram, par visiem deleģētajiem informācijas un komunikācijas tehnoloģiju ārpakalpojumiem). Iestāde šo informāciju sniedz apstrādājamā elektroniskā formātā.

41. Iestāde nodrošina reģistrā iekļautās informācijas un dokumentu uzglabāšanu vismaz piecus gadus pēc ārpakalpojumu līguma darbības termiņa beigām.

42. Iestādes konsolidācijas grupā vai subkonsolidācijas grupā ārpakalpojumu reģistru var uzturēt centralizēti.

43. Iestāde dokumentē veiktā novērtējuma un īstenoto uzraudzības pasākumu rezultātus (piemēram, pakalpojumu sniedzēja darbības rezultātus, atbilstību saskaņotajiem pakalpojumu līmeņiem, citām līgumiskajām un regulatīvajām prasībām, veiktā riska novērtējuma atjaunināšanu).

X. Ārpakalpojumu izmantošanas riska novērtējums

44. Iestāde novērtē ārpakalpojuma izmantošanas iespējamo ietekmi uz operacionālo risku. Pieņemot lēmumu par to, vai funkciju var deleģēt ārpakalpojumu sniedzējam, ņem vērā novērtējuma rezultātus un veic nepieciešamos pasākumus, lai novērstu papildu operacionālo risku, pirms tiek noslēgts ārpakalpojumu līgums.

45. Novērtējumā vajadzības gadījumā ietver iespējamo risku scenārijus, tai skaitā augsta līmeņa operacionālā riska scenārijus. Veicot scenāriju analīzi, iestāde ņem vērā identificētos trūkumus ārpakalpojumu izmantošanas procesā, novērtē iepriekšējo ārpakalpojumu izmantošanas rezultātus un to iespējamo ietekmi, tostarp riskus, ko rada procesi, sistēmas, cilvēki vai ārēji notikumi. Iestāde, ievērojot šo noteikumu 6. punktā minēto proporcionalitātes principu, dokumentē veiktās analīzes rezultātus un novērtē, cik lielā mērā ārpakalpojumu izmantošana ietekmēs operacionālā riska līmeni.

46. Iestāde, kuras organizatoriskā struktūra un darbības apjoms ir neliels un kura nav atzīta par citu sistēmiski nozīmīgu iestādi, ņemot vērā šo noteikumu 6. punktā noteikto, var izmantot kvalitatīvas riska novērtēšanas metodes. Pārējās iestādes riska novērtēšanai izmanto pieeju, kas nodrošina visaptverošu to riska novērtējumu, ja iespējams, ietverot kvantitatīvus datus par iekšējiem un ārējiem zaudējumiem, lai iegūtu informāciju scenāriju analīzei.

47. Veicot riska novērtējumu, iestāde ņem vērā arī paredzamos ieguvumus un izmaksas saistībā ar plānoto ārpakalpojuma izmantošanu, izvērtē riskus, kurus var mazināt vai pārvaldīt labāk, un ņem vērā jebkurus iespējamos riskus, kas var rasties plānotā ārpakalpojuma izmantošanas rezultātā, tostarp:

47.1. koncentrācijas risku, kas ietver:

47.1.1. ārpakalpojumu deleģēšanu dominējošam pakalpojumu sniedzējam, kas nav viegli aizstājams;

47.1.2. vairāku ārpakalpojumu nodošanu vienam un tam pašam pakalpojumu sniedzējam vai cieši saistītiem pakalpojumu sniedzējiem;

47.2. kopējo risku gadījumā, kad ārpakalpojumu sniedzējiem deleģētas vairākas iestādes funkcijas, vai kopējo risku konsolidācijas grupā vai subkonsolidācijas grupā, ja ārpakalpojumu sniedzējiem deleģētas vairākas funkcijas grupas ietvaros;

47.3. intervences risku, kas var rasties, ja pakalpojumu sniedzējam, kurš nonācis grūtībās, nepieciešams sniegt finansiālu atbalstu vai pārņemt tā darbību;

47.4. pasākumus, ko īsteno iestāde un ārpakalpojumu sniedzējs, lai pārvaldītu un mazinātu riskus.

48. Ja ārpakalpojumu izmantošana paredz iespēju, ka pakalpojumu sniedzējs deleģē tālāk kritiski svarīgas vai nozīmīgas funkcijas citiem ārpakalpojumu sniedzējiem, iestāde ņem vērā:

48.1. riskus, kas saistīti ar ārpakalpojumu tālāku deleģēšanu, tostarp papildu riskus, kas var rasties, ja apakšuzņēmējs atrodas ārvalstī vai citā valstī, nevis pakalpojumu sniedzēja valstī;

48.2. risku, ka garās un sarežģītās ārpakalpojumu tālākas deleģēšanas ķēdes samazina iestādes spēju pārraudzīt ārpakalpojumu sniedzējam deleģētās kritiski svarīgās vai nozīmīgās funkcijas un Komisijas spēju efektīvi tās uzraudzīt.

49. Veicot riska novērtējumu pirms ārpakalpojumu izmantošanas un īstenojot ārpakalpojumu sniedzēja darbības pastāvīgu uzraudzību, iestāde vismaz:

49.1. identificē un klasificē attiecīgās funkcijas, nosaka, vai ar tām saistītās sistēmas un dati ir sensitīvi un kādi aizsardzības pasākumi ir nepieciešami;

49.2. veic rūpīgu uz risku izvērtējumu balstītu analīzi par funkcijām un ar tām saistītajiem datiem un sistēmām, kuras paredzēts deleģēt ārpakalpojumu sniedzējiem vai kuras jau nodrošina ārpakalpojumu sniedzēji, un novērš iespējamos riskus, jo īpaši operacionālo risku, tostarp juridisko, informācijas un komunikācijas tehnoloģiju un atbilstības risku, kā arī reputācijas risku, un vērtē arī uzraudzības ierobežojumus attiecībā uz valstīm, kurās tiek nodrošināti vai var tikt nodrošināti ārpakalpojumi un tiek glabāti vai var tikt glabāti dati;

49.3. apsver sekas, ko rada pakalpojumu sniedzēja atrašanās vieta (dalībvalstī vai ārvalstī);

49.4. apsver attiecīgo jurisdikciju politisko stabilitāti un drošību, tostarp:

49.4.1. spēkā esošos tiesību aktus, tai skaitā tiesību aktus par fizisku personu datu aizsardzību;

49.4.2. spēkā esošos tiesībaizsardzības noteikumus;

49.4.3. maksātnespējas normatīvo aktu prasības, kas attiecas uz ārpakalpojumu sniedzēju, un jebkādus ierobežojumus (piemēram, darbības ierobežojumu noteikšanu, tiesvedības procesu), kas varētu rasties, īpaši saistībā ar nepieciešamību steidzami atgūt iestādes datus;

49.5. definē un pieņem lēmumus par piemērotu datu konfidencialitātes aizsardzības līmeni, deleģēto darbību nepārtrauktību un datu un sistēmu integritāti un izsekojamību plānotās ārpakalpojumu izmantošanas kontekstā. Iestādēm un maksājumu iestādēm ir arī jāapsver iespēja vajadzības gadījumā ieviest īpašus pasākumus attiecībā uz datiem, kuri tiek pārsūtīti, tiek glabāti elektroniskajā atmiņā un pašlaik netiek izmantoti, piemēram, šifrēšanas tehnoloģiju izmantošanu apvienojumā ar piemērotas datu pārvaldības infrastruktūras nodrošināšanu;

49.6. novērtē, vai ārpakalpojumu sniedzējs ir iestādes meitas sabiedrība vai mātes sabiedrība, vai tas ir iekļauts konsolidācijas grupā vai subkonsolidācijas grupā un kādā apmērā iestāde to kontrolē vai spēj ietekmēt tā darbību.

XI. Ārpakalpojumu sniedzēja piemērotības pārbaude

50. Pirms ārpakalpojumu līguma slēgšanas iestāde ārpakalpojumu sniedzēja atlases un novērtēšanas procesā pārliecinās par pakalpojumu sniedzēja piemērotību un ņem vērā operacionālo risku, kas saistīts ar funkciju deleģēšanu ārpakalpojumu sniedzējam.

51. Nozīmīgu ārpakalpojumu gadījumā iestāde pārliecinās par ārpakalpojumu sniedzēja spēju veikt funkciju, kuru tam plānots deleģēt, tā reputāciju, kompetenci, resursiem (piemēram, cilvēku, informācijas tehnoloģiju, finanšu), organizatorisko struktūru un nepieciešamības gadījumā – atļaujas (licences) vai reģistrācijas esamību, lai īstenotu kritiski svarīgu vai nozīmīgu funkciju uzticamā un profesionālā veidā un nodrošinātu savu saistību izpildi visā plānotajā ārpakalpojumu līguma darbības laikā.

52. Veicot ārpakalpojumu sniedzēja piemērotības pārbaudi, iestāde novērtē vismaz šādus faktorus:

52.1. uzņēmējdarbības veidu, būtību, apjomu, sarežģītību, finanšu situāciju, īpašumtiesības un grupas struktūru;

52.2. ilgtermiņa attiecības ar ārpakalpojumu sniedzējiem, kuri jau ir novērtēti un kuri sniedz ārpakalpojumus iestādei;

52.3. to, vai ārpakalpojumu sniedzējs ir iestādes mātes sabiedrība vai meitas sabiedrība un vai tas ir konsolidācijas grupas vai subkonsolidācijas grupas sastāvā;

52.4. to, vai ārpakalpojumu sniedzēju uzrauga attiecīgā uzraudzības institūcija.

53. Ja ārpakalpojumu izmantošana ietver personas datu vai konfidenciālu datu apstrādi, iestāde pārliecinās, vai ārpakalpojumu sniedzējs īsteno nepieciešamos tehniskos un organizatoriskos pasākumus datu aizsardzībai.

54. Iestāde veic nepieciešamos pasākumus, lai nodrošinātu ārpakalpojumu sniedzēju darbību atbilstoši tās korporatīvajām vērtībām un ētikas kodeksam, īpaši attiecībā uz ārpakalpojumu sniedzējiem, kas atrodas ārvalstīs, un vajadzības gadījumā to apakšuzņēmējiem. Iestāde pārliecinās, vai ārpakalpojumu sniedzēji darbojas ētiski un sociāli atbildīgi un vai tie ievēro starptautiskos standartus cilvēktiesību jomā (piemēram, Eiropas Cilvēktiesību konvenciju) un vides aizsardzības jomā un nodrošina atbilstošus darba apstākļus.

XII. Nozīmīgu ārpakalpojumu līgumā iekļaujamās prasības

55. Iestādes un pakalpojumu sniedzēja tiesības un pienākumus izklāsta un skaidri norāda rakstveida ārpakalpojumu līgumā.

56. Nozīmīgu ārpakalpojumu līgumā ietver vismaz šādu informāciju:

56.1. funkcijas, kuru plānots deleģēt ārpakalpojumu sniedzējam, skaidru aprakstu;

56.2. darba sākuma datumu un vajadzības gadījumā beigu datumu vai paziņošanas par līguma izbeigšanos termiņu attiecībā uz ārpakalpojumu sniedzēju un iestādi;

56.3. ārpakalpojumu līgumu regulējošos tiesību aktus;

56.4. līgumslēdzēju pušu finanšu saistības;

56.5. norādi, vai ir atļauts tālāk deleģēt ārpakalpojumus attiecībā uz kritiski svarīgām vai nozīmīgām funkcijām vai to būtiskām daļām atbilstoši šo noteikumu XIV nodaļā minētajiem nosacījumiem ārpakalpojumu tālākai deleģēšanai;

56.6. vietu vai vietas (valstis vai reģionus), kur tiks nodrošināta kritiski svarīgā vai nozīmīgā funkcija vai tiks glabāti un apstrādāti attiecīgie dati, tostarp iespējamo glabāšanas vietu un nosacījumus, kas jāievēro, ietverot prasību informēt iestādi, ja pakalpojumu sniedzējs ierosina mainīt šo vietu vai vietas;

56.7. vajadzības gadījumā noteikumus par piekļuvi attiecīgajiem datiem, kā arī to pieejamību, integritāti, privātumu un drošību atbilstoši šo noteikumu XV nodaļā noteiktajam;

56.8. iestādes tiesības pastāvīgi uzraudzīt ārpakalpojumu sniedzēja darbību un rezultātus;

56.9. savstarpēji saskaņotus pakalpojuma sniegšanas kritērijus, kuros iekļauj ārpakalpojumu sniedzējam deleģēto funkciju precīzi noteiktus kvantitatīvus un kvalitatīvus mērķus, kas ļautu laikus īstenot uzraudzību, lai bez liekas kavēšanās varētu veikt atbilstošus koriģējošos pasākumus, ja nav ievēroti saskaņotie pakalpojuma sniegšanas kritēriji;

56.10. ārpakalpojumu sniedzēja pienākumu sniegt iestādei ziņojumus, ietverot ārpakalpojumu sniedzēja ziņojumu par jebkādu procesa attīstību, kas var būtiski ietekmēt pakalpojumu sniedzēja spēju efektīvi īstenot kritiski svarīgo vai nozīmīgo funkciju atbilstoši saskaņotajiem pakalpojuma sniegšanas kritērijiem un saskaņā ar piemērojamajiem tiesību aktiem un regulējošajām prasībām, kā arī vajadzības gadījumā pienākumu iesniegt pakalpojumu sniedzēja iekšējā audita funkcijas ziņojumus;

56.11. norādi, vai pakalpojumu sniedzējam ir jāveic obligātā apdrošināšana pret noteiktiem riskiem, un vajadzības gadījumā pieprasīto apdrošināšanas seguma līmeni;

56.12. prasības īstenot un pārbaudīt darbības nodrošināšanas ārkārtas situāciju plānus;

56.13. noteikumus, kas nodrošina piekļuvi iestādes īpašumā esošajiem datiem pakalpojumu sniedzēja maksātnespējas, noregulējuma vai darbības pārtraukšanas gadījumā;

56.14. pakalpojumu sniedzēja pienākumu sadarboties ar Komisiju, tai skaitā ar citām personām, ko tā pilnvarojusi;

56.15. skaidru norādi uz noregulējuma iestādes pilnvarām atbilstoši Kredītiestāžu un ieguldījumu brokeru sabiedrību darbības atjaunošanas un noregulējuma likuma 90.93. pantā noteiktajam;

56.16. iestādes un Komisijas tiesības pārbaudīt ārpakalpojumu sniedzēja darbību tā atrašanās vai ārpakalpojuma sniegšanas vietā, tai skaitā pieprasīt jebkādus dokumentus un iepazīties ar visiem dokumentiem, kas saistīti ar konkrēto ārpakalpojumu, kā arī pieprasīt no ārpakalpojumu sniedzēja, tā pārstāvjiem vai darbiniekiem paskaidrojumus un informāciju, kas saistīta ar ārpakalpojuma sniegšanu, jo īpaši attiecībā uz ārpakalpojumu sniedzējam deleģētu kritiski svarīgu vai nozīmīgu funkciju;

56.17. ārpakalpojumu līguma pārtraukšanas tiesības, kā arī prasību iestādei informēt Komisiju par ārpakalpojumu līguma pārtraukšanu;

56.18. šo noteikumu XV nodaļā ietvertās prasības attiecībā uz datu un sistēmu drošību un šo noteikumu XVI nodaļā noteikto prasību par piekļuves, informācijas pieejamības un revīzijas tiesībām.

XIII. Ārpakalpojumu līguma pārtraukšana

57. Ārpakalpojumu līgumā skaidri paredz iespēju, ka iestāde var pārtraukt līgumu atbilstoši piemērojamajiem tiesību aktiem, kā arī gadījumos, kad:

57.1. ārpakalpojumu sniedzējs ir pārkāpis piemērojamos tiesību aktus, noteikumus vai līgumiskos noteikumus;

57.2. tiek konstatēti šķēršļi, kas var ietekmēt ārpakalpojumu sniedzējam deleģētās funkcijas izpildi;

57.3. pastāv būtiskas izmaiņas, kas ietekmē ārpakalpojuma izmantošanu vai ārpakalpojumu sniedzēju (piemēram, ārpakalpojuma tālāka deleģēšana vai apakšuzņēmēju nomaiņa);

57.4. konstatēti trūkumi attiecībā uz konfidenciālu, personisku vai citādi sensitīvu datu vai informācijas pārvaldību un drošību;

57.5. ārpakalpojuma izmantošana liedz vai ierobežo Komisijas iespējas veikt normatīvajos aktos noteiktās uzraudzības funkcijas.

58. Ārpakalpojumu līgumā noteiktajām prasībām ir jānodrošina ārpakalpojumu sniedzējam deleģētās funkcijas iespējami vienkārša un operatīva nodošana citam ārpakalpojumu sniedzējam vai jānodrošina iestādes spēja pārņemt pakalpojumu sniedzējam deleģētās funkcijas izpildi atpakaļ iestādē. Šajā nolūkā ārpakalpojumu līgumā:

58.1. skaidri izklāsta esošā pakalpojumu sniedzēja pienākumus gadījumā, ja ārpakalpojumu sniedzējam deleģētā funkcija tiek nodota citam pakalpojumu sniedzējam vai tās izpilde tiek pārņemta atpakaļ iestādē, ietverot arī datu apstrādi;

58.2. nosaka piemērotu pārejas periodu, kura laikā pēc ārpakalpojumu līguma pārtraukšanas ārpakalpojumu sniedzējs turpina sniegt tam deleģēto funkciju, lai samazinātu pārtraukuma risku;

58.3. ietver pakalpojumu sniedzēja pienākumu sniegt atbalstu iestādei, veicot organizētu funkcijas nodošanu ārpakalpojumu līguma pārtraukšanas gadījumā.

XIV. Nozīmīgu ārpakalpojumu tālāka deleģēšana

59. Ārpakalpojumu līgumā norāda, vai ir atļauta ārpakalpojumu sniedzējam deleģēto kritiski svarīgo vai nozīmīgo funkciju vai to būtisku daļu tālāka deleģēšana.

60. Gadījumos, kad nozīmīgu ārpakalpojumu tālāka deleģēšana ir atļauta, iestāde novērtē, vai tā funkcijas daļa, kuru paredzēts deleģēt tālāk, ir kritiski svarīga vai nozīmīga (tas ir, kritiski svarīgas vai nozīmīgas funkcijas būtiska daļa), un par to veic ierakstu ārpakalpojumu reģistrā.

61. Deleģējot tālāk nozīmīgu ārpakalpojumu, iestāde, rakstveidā vienojoties ar ārpakalpojumu sniedzēju:

61.1. precizē visus nosacījumus, ko neietver nozīmīga ārpakalpojuma tālāka deleģēšana;

61.2. precizē nosacījumus, kas jāievēro nozīmīga ārpakalpojuma tālākas deleģēšanas gadījumā;

61.3. norāda, ka ārpakalpojumu sniedzējam ir pienākums pārraudzīt pakalpojumus, par kuriem tam ir noslēgti apakšlīgumi, lai nodrošinātu, ka visas līgumsaistības starp ārpakalpojumu sniedzēju un iestādi tiek pastāvīgi izpildītas;

61.4. paredz, ka ārpakalpojumu sniedzējam pirms ārpakalpojuma fizisko personu datu jomā tālākas deleģēšanas ir jāsaņem iestādes rakstveida atļauja atbilstoši Regulas (ES) 2016/679 28. pantā noteiktajām prasībām;

61.5. norāda, ka ārpakalpojumu sniedzējam ir pienākums informēt iestādi par visiem plānotajiem ārpakalpojumu tālākas deleģēšanas gadījumiem vai to būtiskām izmaiņām, jo īpaši, ja tas var ietekmēt ārpakalpojumu sniedzēja spēju pildīt pienākumus saskaņā ar ārpakalpojumu līgumu. Ja tiek plānotas izmaiņas attiecībā uz apakšuzņēmējiem un termiņu, kādā iestāde saņem informāciju par plānotajām izmaiņām, tad nodrošina, lai iestāde varētu veikt ierosināto izmaiņu riska novērtējumu un tai būtu tiesības iebilst pret izmaiņām, pirms stājas spēkā plānotā ārpakalpojumu tālāka deleģēšana vai būtiskas izmaiņas;

61.6. nodrošina, ka iestādei ir tiesības iebilst pret paredzēto ārpakalpojumu tālāku deleģēšanu vai ar to saistītām būtiskām izmaiņām un ir nepieciešams saņemt iestādes apstiprinājumu;

61.7. nodrošina, ka iestādei ir tiesības nekavējoties izbeigt ārpakalpojumu līgumu, ja ārpakalpojumu tālāka deleģēšana būtiski palielina iestādes riskus vai ja ārpakalpojumu sniedzējs veic ārpakalpojumu tālāku deleģēšanu, nepaziņojot par to iestādei.

62. Iestāde var piekrist ārpakalpojumu tālākai deleģēšanai tikai tad, ja apakšuzņēmējs apņemas:

62.1. ievērot tā darbībai saistībā ar ārpakalpojumu sniegšanu piemērojamos tiesību aktus, regulējošās prasības un līgumsaistības;

62.2. piešķirt iestādei un Komisijai tādas pašas piekļuves un revīzijas tiesības kā tās, ko piešķīris ārpakalpojumu sniedzējs.

63. Iestāde nodrošina, ka ārpakalpojumu sniedzējs pienācīgi pārrauga apakšuzņēmējus atbilstoši iestādē noteiktajai politikai un procedūrām. Ja ārpakalpojumu tālāka deleģēšana var būtiski negatīvi ietekmēt kritiski svarīgu vai nozīmīgu funkciju izpildi vai paaugstina riskus, kā arī var netikt izpildīti šo noteikumu XIV nodaļā minētie nosacījumi, iestāde izmanto tiesības iebilst pret ārpakalpojumu tālāku deleģēšanu vai pārtraukt ārpakalpojumu līgumu.

XV. Datu un sistēmu drošība

64. Iestāde nodrošina, ka ārpakalpojumu sniedzējs ievēro atbilstošos informācijas tehnoloģiju drošības standartus.

65. Iestāde uzrauga ārpakalpojumu līgumā noteikto datu un sistēmu drošības prasību ievērošanu (piemēram, saistībā ar mākoņpakalpojumu vai citu informācijas un komunikāciju tehnoloģiju pakalpojumu deleģēšanu ārpakalpojumu sniedzējam).

66. Personas datu vai konfidenciālu datu apstrādes vai pārsūtīšanas gadījumā iestāde nodrošina, ka ārpakalpojumu līgumā ir norādīta personas datu glabāšanas un datu apstrādes vieta vai vietas (valsts vai reģions).

67. Iestāde ārpakalpojumu līgumā nosaka pienākumu ārpakalpojumu sniedzējam aizsargāt konfidenciālu informāciju, personas datus vai citādi sensitīvu informāciju atbilstoši iestādei noteiktajām normatīvo aktu prasībām par datu un informācijas aizsardzību.

68. Ja iestāde deleģē funkciju izpildi mākoņdatošanas ārpakalpojumu sniedzējiem un gadījumos, kad tiek veikta personas datu vai konfidenciālu datu apstrāde vai pārsūtīšana, iestāde izmanto uz risku izvērtējumu balstītu pieeju attiecībā uz datu glabāšanas un datu apstrādes vietu vai vietām (valsti vai reģionu) un informācijas drošības apsvērumiem.

XVI. Piekļuves, informācijas pieejamības un revīzijas tiesības

69. Iestāde ārpakalpojumu līgumā nosaka prasību, ka iekšējā audita funkcija, izmantojot uz risku izvērtējumu balstītu pieeju, veic ārpakalpojumu sniedzējam deleģēto funkciju pārbaudes.

70. Neatkarīgi no tā, vai ārpakalpojumu sniedzējam deleģētā funkcija ir kritiski svarīga vai nozīmīga, ārpakalpojumu līgumā nosaka tiesības Komisijai piekļūt informācijai un veikt pārbaudi saskaņā ar Kredītiestāžu un ieguldījumu brokeru sabiedrību darbības atjaunošanas un noregulējuma likuma 12. pantu un Kredītiestāžu likuma 8. un 106. pantu attiecībā uz ārpakalpojumu sniedzējiem, kuri atrodas dalībvalstīs, kā arī šīs prasības attiecina uz ārpakalpojumu sniedzējiem, kuri atrodas ārvalstīs.

71. Attiecībā uz ārpakalpojumu sniedzējam deleģētajām kritiski svarīgām vai nozīmīgām funkcijām ārpakalpojumu līgumā paredz, ka pakalpojumu sniedzējs iestādei un Komisijai, tai skaitā kā noregulējuma iestādei, un jebkurai citai iestādes vai Komisijas pilnvarotai personai nodrošina:

71.1. piekļuvi visām attiecīgajām uzņēmējdarbības telpām (piemēram, galvenajiem birojiem un darbības centriem), tostarp visām ierīcēm, sistēmām, tīkliem, informācijai un datiem, ko izmanto ārpakalpojumu sniedzējam deleģētajai funkcijai, tai skaitā ar to saistītajai finanšu informācijai, personālam un pakalpojumu sniedzēja ārējiem revidentiem ("piekļuves un informācijas tiesības");

71.2. ārpakalpojumu izmantošanas pārbaudes un revīzijas tiesības ("revīzijas tiesības") ārpakalpojumu izmantošanas uzraudzībai un atbilstības visām saistošajām regulējošajām un līgumiskajām prasībām nodrošināšanai.

72. Lai ārpakalpojumu sniedzējam deleģētu funkcijas, kas nav kritiski svarīgas vai nozīmīgas, iestāde nodrošina piekļuves un revīzijas tiesības atbilstoši šo noteikumu 71. punktā noteiktajam, izmantojot uz risku izvērtējumu balstītu pieeju, ņemot vērā ārpakalpojumu sniedzējam deleģētās funkcijas būtību un ar to saistītos operacionālos un reputācijas riskus, tās apjomu un iespējamo ietekmi uz darbības nepārtrauktību un līgumā noteikto termiņu. Iestāde ņem vērā, ka funkcija var kļūt kritiski svarīga vai nozīmīga.

73. Iestāde nodrošina, ka ārpakalpojumu līgums vai jebkura cita līgumiska vienošanās nekavē vai neierobežo piekļuves un revīzijas tiesību efektīvu īstenošanu iestādei, Komisijai vai trešajām personām, ko tās pilnvarojušas savu tiesību īstenošanai.

74. Iestāde, izmantojot savas piekļuves un revīzijas tiesības, atbilstoši uz risku izvērtējumu balstītai pieejai nosaka revīzijas biežumu un jomu, kurā jāveic revīzija, kā arī ievēro attiecīgos vispārpieņemtos valstu un starptautiskos revīzijas standartus.

75. Neierobežojot atbildību par ārpakalpojumu izmantošanu, iestāde var izmantot:

75.1. apvienotas revīzijas, ko organizē kopā ar citiem tā paša pakalpojumu sniedzēja klientiem un ko veic pati iestāde un klienti vai arī kāda to norīkota trešā persona, lai tādējādi efektīvāk izmantotu revīzijas resursus un samazinātu administratīvo slogu gan klientiem, gan arī pakalpojumu sniedzējam;

75.2. trešo personu izdotus sertifikātus un trešo personu sagatavotus revīzijas ziņojumus vai iekšējo revīziju ziņojumus, kurus pakalpojumu sniedzējs tai iesniedz.

76. Lai deleģētu ārpakalpojumu sniedzējam kritiski svarīgas vai nozīmīgas funkcijas, iestāde novērtē, vai šo noteikumu 75.2. punktā minētie trešo personu sertifikāti un ziņojumi ir atbilstoši un pietiekami, lai nodrošinātu regulējošo prasību izpildi, bet nepaļaujas tikai uz šiem ziņojumiem.

77. Iestāde izmanto šo noteikumu 75.2. punktā minētos sertifikātus un trešo personu sagatavotos revīzijas ziņojumus tikai tad, ja:

77.1. ir sagatavots atbilstošs revīzijas plāns attiecībā uz ārpakalpojumu sniedzējam deleģēto funkciju;

77.2. sertifikācijas vai revīzijas ziņojumi attiecas uz sistēmām (piemēram, procesiem, lietotnēm, infrastruktūru, datu centriem u.tml.) un kontroles pasākumiem, ko iestāde ir identificējusi, kā arī tie atbilst attiecīgajām regulējošajām prasībām;

77.3. pastāvīgi tiek rūpīgi izvērtēts sertifikācijas vai revīzijas ziņojumu saturs un tiek pārbaudīts, vai ziņojumi un sertifikāti nav novecojuši;

77.4. galvenās sistēmas un kontroles ir ietvertas sertifikācijas vai revīzijas ziņojuma turpmākajās redakcijās;

77.5. personai, kura izdod sertifikātus vai sagatavo revīzijas ziņojumus, ir atbilstoša kompetence un atļaujas (piemēram, attiecībā uz sertifikācijas vai revīzijas uzņēmumu rotāciju, kvalifikāciju, zināšanām, attiecīgajā revīzijas lietā esošo pierādījumu pārbaudi vai atkārtotu pārbaudi);

77.6. sertifikāti tiek izdoti un revīzija tiek veikta saskaņā ar vispāratzītiem profesionālajiem standartiem un ietver būtisko kontroles pasākumu operatīvās efektivitātes pārbaudi;

77.7. tai ir līgumiskas tiesības pieprasīt, lai sertifikācijas vai revīzijas ziņojumu darbības jomas tiktu attiecinātas uz citām saistītajām sistēmām un kontrolēm. Šādu pieprasījumu par grozījumiem darbības jomā skaitam un biežumam ir jābūt samērīgam un leģitīmam no riska pārvaldības viedokļa;

77.8. tā saglabā tiesības pēc saviem ieskatiem veikt individuālas revīzijas, ja ārpakalpojumu sniedzējam ir deleģēta kritiski svarīga vai nozīmīga funkcija.

78. Ja nepieciešams, iestāde veic drošības pārbaudes un testus, lai novērtētu pakalpojumu sniedzēja īstenoto kiberdrošības un informācijas un komunikācijas tehnoloģiju drošības pasākumu efektivitāti.

79. Iestāde nodrošina, ka ārpakalpojumu sniedzējs pirms plānotā iestādes, Komisijas vai to pilnvaroto personu apmeklējuma klātienē tiek pienācīgi informēts par plānoto vizīti, izņemot gadījumus, kad tas nav iespējams ārkārtas vai krīzes situācijas dēļ.

80. Veicot tāda ārpakalpojumu sniedzēja revīziju, kurš sniedz ārpakalpojumus vairākiem klientiem, nodrošina, lai tiktu novērsti vai mazināti riski, kas apdraud citu klientu darbības vidi (piemēram, ietekme uz pakalpojumu līmeni, datu pieejamība un konfidencialitāte).

81. Ja ārpakalpojumu izmantošanai ir augsta līmeņa tehniskā sarežģītība kā, piemēram, mākoņpakalpojumu gadījumā, iestāde pārbauda, vai persona, kura veic revīziju, neatkarīgi no tā, vai šī persona ir iestādes iekšējais revidents, revidentu vai ārēju revidentu grupa, kas rīkojas tās vārdā, ir piemērota un tai ir atbilstoša kvalifikācija un zināšanas, lai efektīvi veiktu attiecīgo revīziju vai novērtējumu. Tas pats attiecas uz jebkuru iestādes personāla pārstāvi, kas pārskata trešo personu sertifikācijas vai revīzijas, ko veic pakalpojumu sniedzēji.

XVII. Ārpakalpojumu sniedzējiem deleģēto funkciju pārraudzība

82. Iestāde, izmantojot uz risku izvērtējumu balstītu pieeju, pastāvīgi uzrauga pakalpojumu sniedzēju darbību attiecībā uz jebkuru līgumu par ārpakalpojumu izmantošanu, īpašu uzmanību pievēršot ārpakalpojumu sniedzējiem deleģētajām kritiski svarīgām vai nozīmīgām funkcijām, un nodrošina datu un informācijas pieejamību, integritāti un drošību. Ja ārpakalpojumu sniedzējam deleģētās funkcijas risks, veids vai apjoms ir būtiski mainījies, iestāde atkārtoti izvērtē šīs funkcijas kritisko svarīgumu vai nozīmīgumu atbilstoši šo noteikumu V nodaļā noteiktajam.

83. Iestāde ārpakalpojumu izmantošanas uzraudzību un pārvaldību veic ar pienācīgu gādību, rūpību un kvalifikāciju.

84. Iestāde regulāri, bet ne retāk kā reizi gadā atbilstoši šo noteikumu X nodaļā noteiktajām prasībām atjaunina veikto riska novērtējumu un periodiski ziņo vadības struktūrai par riskiem, kas konstatēti attiecībā uz kritiski svarīgu vai nozīmīgu funkciju deleģēšanu ārpakalpojumu sniedzējiem.

85. Iestāde uzrauga un pārvalda iekšējo koncentrācijas risku, ko rada ārpakalpojumu izmantošana, ņemot vērā šo noteikumu X nodaļā noteikto.

86. Iestāde pastāvīgi uzrauga ārpakalpojumu izmantošanas atbilstību tās politikā noteiktajām prasībām un kvalitātes standartiem, īpaši attiecībā uz ārpakalpojumu sniedzējiem deleģētajām kritiski svarīgām vai nozīmīgām funkcijām, un nodrošina:

86.1. ziņojumu saņemšanu no pakalpojumu sniedzējiem;

86.2. pakalpojumu sniedzēju darbības rezultātu un saņemto ziņojumu novērtēšanu;

86.3. no pakalpojumu sniedzējiem saņemtās visas būtiskās informācijas, tostarp ziņojumu par darbības nepārtrauktības pasākumiem un pārbaudēm, izskatīšanu.

87. Ja iestāde saskaņā ar piemērojamajiem tiesību aktiem konstatē nepilnības ārpakalpojumu sniedzējam deleģētās funkcijas īstenošanā, īpaši gadījumos, kad pakalpojumu sniedzējs neizpilda tam deleģēto kritiski svarīgo vai nozīmīgo funkciju pietiekami efektīvi, tā veic atbilstošus korektīvos pasākumus un nepieciešamības gadījumā var nekavējoties pārtraukt ārpakalpojumu līgumu.

XVIII. Ārpakalpojuma izbeigšanas stratēģija (exit strategy)

88. Ja ārpakalpojumu sniedzējam atbilstoši iestādes politikai, procedūrām un darbības nepārtrauktības plāniem tiek deleģētas kritiski svarīgas vai nozīmīgas funkcijas, iestāde sagatavo un dokumentē ārpakalpojuma izbeigšanas stratēģiju, tajā paredzot vismaz:

88.1. ārpakalpojumu līguma pārtraukšanas nosacījumus, iemeslus un iespējamās situācijas;

88.2. rīcību ārpakalpojumu sniedzēja pienākumu neizpildes gadījumā;

88.3. rīcību nodrošināto funkciju kvalitātes pasliktināšanās un faktisko vai potenciālo darbības traucējumu gadījumā, ko izraisa nepareiza vai neveiksmīga funkcijas nodrošināšana;

88.4. būtiskus riskus, kas saistīti ar funkcijas atbilstošu un pastāvīgu īstenošanu;

88.5. veicamās analīzes tvērumu un resursus, kas būtu nepieciešami ārpakalpojumu līguma pārtraukšanas īstenošanai, un nosakot, cik ilgā laikā to būtu iespējams veikt;

88.6. pilnvarotos darbiniekus un to pienākumus, resursus ārpakalpojuma izbeigšanas stratēģijas īstenošanas pārvaldībai un nepieciešamo darbību veikšanai;

88.7. kritērijus ārpakalpojumu sniedzējam deleģēto funkciju un nodoto datu pārņemšanai;

88.8. rādītājus, kurus izmanto ārpakalpojumu izmantošanas uzraudzībai, tostarp rādītāju vērtības, kas liecina par nepieņemamu ārpakalpojuma kvalitātes līmeni un norāda uz nepieciešamību izmantot ārpakalpojuma izbeigšanas stratēģiju.

89. Iestāde nodrošina, ka, pārtraucot ārpakalpojumu līgumu, netiek radīti nepamatoti tās darbības traucējumi, ietekmēta tās atbilstība regulējošajām prasībām un tas nerada kaitējumu iestādes pakalpojumu sniegšanas nepārtrauktībai un kvalitātei. Lai to nodrošinātu, iestāde:

89.1. izstrādā un īsteno visaptverošu, dokumentētu un attiecīgajā gadījumā pietiekami pārbaudītu ārpakalpojuma izbeigšanas stratēģiju (piemēram, veic analīzi par iespējamajām izmaksām, ietekmi, nepieciešamajiem resursiem un laiku saistībā ar ārpakalpojumu sniedzēja nodrošinātās funkcijas nodošanu alternatīvam pakalpojumu sniedzējam);

89.2. nosaka alternatīvus risinājumus un izstrādā pārejas plānu, lai iestāde ārpakalpojumu sniedzējam deleģētās funkcijas un datus no pakalpojumu sniedzēja varētu nodot tālāk citam pakalpojumu sniedzējam vai pārņemt atpakaļ iestādē, vai veikt citus pasākumus, kas nodrošina kritiski svarīgu vai nozīmīgu funkciju vai darbību nepārtrauktu īstenošanu kontrolētā un pietiekami pārbaudītā veidā, ņemot vērā problēmas, kas var rasties datu atrašanās vietas dēļ, un veicot nepieciešamos pasākumus, lai nodrošinātu darbības nepārtrauktību pārejas posmā.

XIX. Komisijā iesniedzamie dokumenti un informācija nozīmīga ārpakalpojuma saņemšanai

90. Iestāde vismaz 30 darbdienas pirms līguma noslēgšanas par kritiski svarīgu vai nozīmīgu funkciju deleģēšanu ārpakalpojumu sniedzējam iesniedz Komisijai atbilstoši šo noteikumu 1. pielikumam sagatavotu rakstveida paziņojumu un tam pievieno:

90.1. ārpakalpojumu līguma projektu vai līguma kopiju;

90.2. ārpakalpojumu politiku un procedūras (ja tās jau iepriekš nav iesniegtas Komisijā);

90.3. citu informāciju, ko iestāde uzskata par nepieciešamu, lai pamatotu iestādes lēmumu deleģēt kritiski svarīgu vai nozīmīgu funkciju ārpakalpojumu sniedzējam.

91. Iestāde vismaz 30 darbdienas pirms būtiskiem grozījumiem, ko plānots izdarīt noslēgtajā nozīmīgu ārpakalpojumu līgumā, iesniedz Komisijai atbilstoši šo noteikumu 2. pielikumam sagatavotu rakstveida paziņojumu un tam pievieno:

91.1. grozījumus ārpakalpojumu līgumā;

91.2. grozījumus ārpakalpojumu politikā un procedūrās (ja tie jau iepriekš nav iesniegti Komisijā);

91.3. citu informāciju, ko iestāde uzskata par nepieciešamu, lai pamatotu iestādes lēmumu veikt būtiskus grozījumus noslēgtajā nozīmīgu ārpakalpojumu līgumā.

92. Ja iestādes sniegtā informācija atbilstoši šo noteikumu 90. un 91. punktam nav pietiekama, lai novērtētu riskus, ko iestāde uzņemas, deleģējot kritiski svarīgu vai nozīmīgu funkciju ārpakalpojumu sniedzējam, Komisija var pieprasīt papildu informāciju, piemēram, par:

92.1. veiktās riska analīzes rezultātiem;

92.2. ārpakalpojumu sniedzēja darbības nepārtrauktības plānu un tā piemērotību iestādes funkciju, kuras deleģētas ārpakalpojumu sniedzējam, veikšanai;

92.3. ārpakalpojuma izbeigšanas stratēģiju (exit strategy);

92.4. resursiem un pasākumiem, kas ieviesti, lai nodrošinātu ārpakalpojumu sniedzējam deleģēto funkciju uzraudzību;

92.5. citiem aspektiem, ja tas nepieciešams Komisijas novērtējuma veikšanai.

93. Par būtiskiem uzskatāmi šādi grozījumi noslēgtajā nozīmīgu ārpakalpojumu līgumā:

93.1. ārpakalpojuma darbības jomas nozīmīga paplašināšana vai sašaurināšana;

93.2. ārpakalpojumu sniedzēja maiņa;

93.3. ārpakalpojuma sniegšanas tālāka deleģēšana.

94. Pamatojoties uz iestādes sniegto informāciju un ņemot vērā iestādes kritiski svarīgo vai nozīmīgo funkciju raksturu un sarežģītību, ārpakalpojumu sniedzēja kompetenci un tā stāvokli tirgū, Komisija novērtē plānotā nozīmīgā ārpakalpojuma atbilstību Kredītiestāžu likuma 10.1 pantā un šajos noteikumos noteiktajām prasībām, kā arī Komisijas spēju veikt iestādes uzraudzību attiecībā uz ārpakalpojumu sniedzējam deleģēto funkciju.

XX. Noslēguma jautājumi

95. Iestāde izveido ārpakalpojumu reģistru atbilstoši šo noteikumu IX nodaļā noteiktajām prasībām un šo informāciju līdz 2022. gada 15. martam iesniedz Komisijai.

96. Lai noteiktu, vai funkcijas, kuras deleģētas ārpakalpojumu sniedzējiem līdz šo noteikumu spēkā stāšanās dienai, ir kritiski svarīgas vai nozīmīgas, iestāde līdz 2022. gada 1. martam veic šo funkciju novērtējumu atbilstoši šo noteikumu V nodaļā noteiktajām prasībām.

97. Iestāde līdz 2022. gada 1. martam nodrošina nozīmīgu ārpakalpojumu līgumu atbilstību šo noteikumu XII nodaļā noteiktajām prasībām.

Informatīva atsauce uz Eiropas Banku iestādes pamatnostādnēm

Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Banku iestādes 2019. gada 25. februāra pamatnostādnēm EBA/GL/2019/02 "Pamatnostādnes par ārpakalpojumu izmantošanu" (Guidelines on outsourcing).


1 Komisijas Deleģētā regula (ES) 2016/778 (2016. gada 2. februāris), ar ko papildina Eiropas Parlamenta un Padomes Direktīvu 2014/59/ES attiecībā uz apstākļiem un nosacījumiem, saskaņā ar kuriem pilnībā vai daļēji var atlikt ārkārtas ex post maksājumus, un par kritērijiem darbību, pakalpojumu un operāciju noteikšanai attiecībā uz kritiski svarīgajām funkcijām un darbības jomu un saistīto pakalpojumu noteikšanu attiecībā uz galvenajām darbības jomām.

2 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).

3 Skatīt arī Eiropas Banku iestādes pamatnostādnes par informācijas un komunikācijas tehnoloģiju un drošības riska pārvaldību (https://eba.europa.eu/-/eba-consults-onguidelines-on-ict-and-security-risk-management) un G7 pamatelementus trešo personu kiberdrošības riska pārvaldībai finanšu nozarē (https://ec.europa.eu/info/publications/g7-fundamental-elements-cybersecurity-financial-sector_en), kā arī Komisijas 08.11.2020. normatīvos noteikumus Nr. 150 "Informācijas tehnoloģiju un drošības risku pārvaldības normatīvie noteikumi".

Finanšu un kapitāla tirgus komisijas priekšsēdētāja S. Purgaile
1. pielikums
Finanšu un kapitāla tirgus komisijas
06.07.2021. normatīvajiem noteikumiem Nr. 84
PAZIŅOJUMS PAR NOZĪMĪGU ĀRPAKALPOJUMU
   
 

(iestādes nosaukums)

 
   
   
 

(reģistrācijas numurs, adrese)

 
   
   
 

(datums)

 
   

Vispārīga informācija par kritiski svarīgu vai nozīmīgu funkciju deleģēšanu ārpakalpojumu sniedzējam

1.

Kritiski svarīgas vai nozīmīgas funkcijas apraksts
(pakalpojuma raksturs un apjoms)

[Teksts]

 

2.

Lēmuma par kritiski svarīgas vai nozīmīgas funkcijas deleģēšanu ārpakalpojumu sniedzējam pamatojums
(norāda ieguvumus, ko iestāde sagaida, deleģējot funkciju ārpakalpojumu sniedzējam, un sniedz īsu kopsavilkumu par veikto riska novērtējumu atbilstoši šo noteikumu X nodaļā noteiktajam)

[Teksts]

 

3.

Ārpakalpojumu sniedzējs, ar kuru plānots noslēgt ārpakalpojumu līgumu
(nosaukums, adrese, reģistrācijas numurs, darbības joma)

[Teksts]

 

4.

Apraksts, kā ārpakalpojumu sniedzējam deleģētā funkcija tiks integrēta iestādes iekšējās kontroles un risku pārvaldības sistēmā

[Teksts]

 

5.

Informācija par ārpakalpojumu politikas un procedūru iesniegšanu Komisijā
(norāda iesniegšanas datumu Komisijā vai pievieno aktualizēto versiju)

 

6.

Informācija par līguma projektā ietverto prasību atbilstību šo noteikumu XII nodaļā noteiktajām prasībām

Ārpakalpojumu līgumā iekļaujamās prasības

Atsauce uz līgumā vai tā projektā ietverto prasību

6.1.

līguma priekšmets

 

6.2.

darba sākuma datums un vajadzības gadījumā beigu datums vai paziņošanas par līguma izbeigšanos termiņš attiecībā uz ārpakalpojumu sniedzēju un iestādi

 

6.3.

ārpakalpojumu līgumu regulējošie tiesību akti

 

6.4.

līgumslēdzēju pušu finanšu saistības

 

6.5.

norāde par atļauju deleģēt tālāk nozīmīgu ārpakalpojumu vai tā būtiskas daļas atbilstoši šo noteikumu XIV nodaļā minētajiem nosacījumiem ārpakalpojumu tālākai deleģēšanai

 

6.6.

vieta vai vietas (valstis vai reģioni), kur tiks nodrošināta kritiski svarīgā vai nozīmīgā funkcija vai tiks glabāti un apstrādāti attiecīgie dati, tostarp iespējamā glabāšanas vieta un nosacījumi, kas jāievēro, ietverot prasību informēt iestādi, ja pakalpojumu sniedzējs ierosina mainīt šo vietu vai vietas

 

6.7.

ja nepieciešams, noteikumi par piekļuvi attiecīgajiem datiem, kā arī to pieejamību, integritāti, privātumu un drošību atbilstoši šo noteikumu XV nodaļā noteiktajam

 

6.8.

iestādes tiesības pastāvīgi uzraudzīt ārpakalpojumu sniedzēja darbības rezultātus

 

6.9.

saskaņoti pakalpojuma sniegšanas kritēriji, kuros iekļauj ārpakalpojumu sniedzējiem deleģēto funkciju precīzi noteiktus kvantitatīvos un kvalitatīvos mērķus, kas ļautu laikus īstenot uzraudzību, lai bez liekas kavēšanās varētu veikt atbilstošus koriģējošos pasākumus, ja nav izpildīti saskaņotie pakalpojuma sniegšanas kritēriji

 

6.10.

ārpakalpojumu sniedzēja pienākums sniegt iestādei ziņojumus, ietverot ārpakalpojumu sniedzēja ziņojumu par jebkādu procesa attīstību, kas var būtiski ietekmēt pakalpojumu sniedzēja spēju efektīvi īstenot kritiski svarīgu vai nozīmīgu funkciju atbilstoši saskaņotajiem pakalpojuma sniegšanas kritērijiem un saskaņā ar piemērojamajiem tiesību aktiem un regulējošajām prasībām, kā arī vajadzības gadījumā pienākums iesniegt pakalpojumu sniedzēja iekšējā audita funkcijas ziņojumus

 

6.11.

informācija, vai pakalpojumu sniedzējam ir jāveic obligātā apdrošināšana pret noteiktiem riskiem, un vajadzības gadījumā pieprasītais apdrošināšanas seguma līmenis

 

6.12.

prasības īstenot un pārbaudīt darbības nodrošināšanas ārkārtas situāciju plānus

 

6.13.

noteikumi, kas nodrošina piekļuvi iestādes īpašumā esošajiem datiem pakalpojumu sniedzēja maksātnespējas, noregulējuma vai darbības pārtraukšanas gadījumā

 

6.14.

pakalpojumu sniedzēja pienākums sadarboties ar Komisiju, tai skaitā citām personām, ko tā pilnvarojusi

 

6.15.

norāde uz noregulējuma iestādes pilnvarām atbilstoši Kredītiestāžu un ieguldījumu brokeru sabiedrību darbības atjaunošanas un noregulējuma likuma 90.93. pantā noteiktajam

 

6.16.

iestādes un Komisijas tiesības veikt pārbaudes un revīzijas par pakalpojumu sniedzēja darbību

 

6.17.

līguma pārtraukšanas tiesības, kā arī prasība iestādei informēt Komisiju par ārpakalpojumu līguma pārtraukšanu

 

 

2. pielikums
Finanšu un kapitāla tirgus komisijas
06.07.2021. normatīvajiem noteikumiem Nr. 84
PAZIŅOJUMS PAR BŪTISKIEM GROZĪJUMIEM NOSLĒGTAJĀ NOZĪMĪGU ĀRPAKALPOJUMU LĪGUMĀ
   
 

(iestādes nosaukums)

 
   
   
 

(reģistrācijas numurs, adrese)

 
   
   
 

(datums)

 
   

Vispārīga informācija par grozījumu izdarīšanu nozīmīgu ārpakalpojumu līgumā

1.

Ārpakalpojumu sniedzējs, ar kuru noslēgts nozīmīgu ārpakalpojumu līgums
(nosaukums, adrese, reģistrācijas numurs, darbības joma)

[Teksts]

 

2.

Plānoto būtisko grozījumu noslēgtajā nozīmīgu ārpakalpojumu līgumā apraksts

[Teksts]

 

3.

Lēmuma par grozījumu izdarīšanu nozīmīgu ārpakalpojumu līgumā pamatojums
(norāda plānoto grozījumu iemeslu un sniedz īsu kopsavilkumu par veikto riska novērtējumu atbilstoši šo noteikumu X nodaļā noteiktajam)

[Teksts]

 

4.

Apraksts, kā izmaiņas ārpakalpojuma saņemšanas kārtībā ir integrētas iestādes iekšējās kontroles un risku pārvaldības sistēmā

[Teksts]

 

5.

Informācija par ārpakalpojumu politikas un procedūru iesniegšanu Komisijā
(norāda iesniegšanas datumu Komisijā vai pievieno aktualizētu versiju)

13.07.2021