LIETUVOS BANKO VALDYBA
NUTARIMAS
DĖL FINANSŲ RINKOS DALYVIŲ VEIKLOS FUNKCIJŲ PERDAVIMO KITIEMS ASMENIMS TAISYKLIŲ PATVIRTINIMO
2020 m. lapkričio 10 d. Nr. 03-166
Vilnius
Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 4 dalies 1 punktu, Lietuvos Respublikos bankų įstatymo 4 straipsnio 4 dalimi, Lietuvos Respublikos centrinių kredito unijų įstatymo 4 straipsnio 6 dalimi, Lietuvos Respublikos kredito unijų įstatymo 5 straipsnio 12 dalimi, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 26 straipsnio 5 dalimi, Lietuvos Respublikos mokėjimo įstaigų įstatymo 19 straipsnio 5 dalimi, Lietuvos banko valdyba n u t a r i a:
1. Patvirtinti Finansų rinkos dalyvių veiklos funkcijų perdavimo kitiems asmenims taisykles (toliau – Taisyklės) (pridedama).
2. Pripažinti netekusiu galios Lietuvos banko valdybos 2004 m. birželio 10 d. nutarimą Nr. 99 „Dėl Banko veiklą papildančių paslaugų pirkimo taisyklių patvirtinimo“ su visais pakeitimais ir papildymais.
3. Nustatyti, kad:
PATVIRTINTA
Lietuvos banko valdybos
2020 m. lapkričio 10 d.
nutarimu Nr. 03-166
FINANSŲ RINKOS DALYVIŲ VEIKLOS FUNKCIJŲ PERDAVIMO KITIEMS ASMENIMS TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Finansų rinkos dalyvių veiklos funkcijų perdavimo kitiems asmenims taisyklėse (toliau – Taisyklės) nustatyti reikalavimai, taikomi Taisyklių 2 punkte nurodytiems finansų rinkos dalyviams, kai jie veiklos funkcijas perduoda kitiems asmenims, nustatyta veiklos funkcijų perdavimo kitiems asmenims valdymo sistema ir reikalavimai, taikomi veiklos funkcijų perdavimo sutartims, perduotų veiklos funkcijų vykdymo stebėsenai ir kontrolei, informacijos apie svarbių veiklos funkcijų perdavimo sutartis pateikimo Lietuvos bankui ir šios informacijos vertinimo tvarka.
2. Taisyklės taikomos Lietuvos Respublikoje įsteigtiems bankams, centrinėms kredito unijoms, kredito unijoms, išskyrus Taisyklių 7 punkte nustatytus atvejus, mokėjimo įstaigoms, išskyrus mokėjimo įstaigas, teikiančias tik sąskaitos informacijos paslaugą, elektroninių pinigų įstaigoms, finansų maklerio įmonėms, ir mutatis mutandis užsienio valstybių minėtų subjektų filialams, įsteigtiems Lietuvos Respublikoje, ir kredito unijoms, kurios pagal Lietuvos Respublikos kredito unijų įstatymo 71 straipsnį yra gavusios Lietuvos banko sutikimą vykdyti pertvarkymą (toliau bet kuris iš šiame punkte nurodytų subjektų – Įstaiga).
3. Taisyklės parengtos atsižvelgiant į 2019 m. vasario 25 d. Europos bankininkystės institucijos gaires EBA/GL/2019/02 dėl užsakomųjų paslaugų.
4. Taisyklėse vartojamos sąvokos:
4.1. debesijos paslaugos – paslaugos, teikiamos naudojant debesijos kompiuteriją, t. y. modelį, kurį taikant galima visur, patogiai, pagal poreikį (angl. on-demand) per tinklo prieigą naudotis bendrais kompiuteriniais ištekliais (pvz., kompiuteriniais tinklais, serveriais, duomenų saugyklomis, taikomosiomis programomis ir paslaugomis), tuos išteklius valdant su minimaliu paslaugų tiekėjo įsikišimu;
4.3. leidimas – priežiūros institucijos išduota licencija, leidimas ar atliktas veiksmas, suteikiantys teisę teikti licencines finansines paslaugas;
4.4. Įstaigos organas – Įstaigos stebėtojų taryba, valdyba arba vienasmenis valdymo organas, kurie pagal teisės aktų reikalavimus ir Įstaigos vidaus dokumentus atsakingi už Taisyklėse nustatytų reikalavimų įgyvendinimą;
4.5. veiklos funkcijų perdavimas kitiems asmenims (toliau – veiklos funkcijų perdavimas) – bet kokia Įstaigos ir paslaugų teikėjo sudaryta sutartis, pagal kurią paslaugų teikėjas įgyvendina procesą, teikia paslaugą arba vykdo veiklą, kuriuos įprastu atveju Įstaiga vykdytų pati;
5. Taisyklės taikomos proporcingai Įstaigos veiklai, t. y. reikalavimai įgyvendinami atsižvelgiant į Įstaigos dydį, veiklos pobūdį ir mastą, perduodamų veiklos funkcijų esmę, svarbą ir sudėtingumą. Įstaiga privalo atsižvelgti į riziką, susijusią su veiklos funkcijų perdavimu, ir veiklos funkcijų perdavimo galimą poveikį Įstaigos veiklos tęstinumui.
6. Įstaiga turi turėti pakankamos kompetencijos ir tinkamos kvalifikacijos išteklių, kad užtikrintų tinkamą veiklos funkcijų perdavimo sutarčių valdymą, priežiūrą, stebėseną ir kontrolę. Įstaiga atsako už Įstaigai teisės aktuose nustatytų reikalavimų vykdymą, įskaitant perduotų svarbių veiklos funkcijų priežiūrą ir kontrolės užtikrinimą.
II SKYRIUS
TAISYKLIŲ TAIKYMAS ĮSTAIGŲ GRUPĖMS
8. Įstaigų grupės, kurios konsoliduotą priežiūrą vykdo Lietuvos bankas, patronuojančioji Įstaiga grupės mastu turi užtikrinti, kad vidaus valdymo priemonės, procesai ir mechanizmai jos patronuojamosiose Įstaigose būtų nuoseklūs, integruoti ir tinkami veiksmingam Taisyklių taikymui visais lygmenimis.
9. Jeigu veiklos funkcijų perdavimo sutartis sudaroma tarp Įstaigų – grupės narių, Įstaigos turi laikytis šių reikalavimų:
9.1. veiklos funkcijas perduodančios Įstaigos organui ir toliau tenka visa atsakomybė už visų teisės aktuose nustatytų reikalavimų laikymąsi ir veiksmingą Taisyklių taikymą;
10. Įstaigų grupėje, kurioje yra įdiegtos tinkamos vidaus valdymo priemonės, procesai ir mechanizmai, turi būti užtikrinamos šios kontrolės galimybės:
10.1. kai perduotų veiklos funkcijų stebėsena ir kontrolė vykdoma centralizuotai, Įstaiga turi savarankiškai stebėti ir kontroliuoti, kaip vykdomos svarbios perduotos funkcijos (gauti ataskaitas iš centralizuotą kontrolę ir stebėseną vykdančio padalinio ar asmens, kuriose atskleidžiami rizikos vertinimo ir perduotų veiklos funkcijų stebėsenos rezultatai; gauti su perduotomis veiklos funkcijomis susijusias audito ataskaitas);
10.2. Įstaigos organas turi būti tinkamai informuojamas apie planuojamus pakeitimus, susijusius su centriniu lygmeniu stebimais paslaugų teikėjais, ir galimą pakeitimų poveikį svarbioms vykdomoms funkcijoms, įskaitant rizikos analizės santrauką;
10.3. kai išankstinis numatomų perduoti veiklos funkcijų ir paslaugų teikėjų rizikos vertinimas vykdomas centralizuotai, Įstaiga turi gauti išankstinio vertinimo santrauką ir įsitikinti, kad buvo atsižvelgta į konkrečios Įstaigos struktūrą ir įvertinta sprendimų priėmimo proceso rizika;
10.4. jeigu visų esamų veiklos funkcijų perdavimo sutarčių registras sukuriamas ir pildomas centralizuotai, turi būti užtikrintos Lietuvos banko ir kiekvienos Įstaigos teisės ir galimybės nedelsiant gauti atitinkamai visą registrą arba tik konkrečiai Įstaigai aktualių sutarčių registrą, į kurį įtraukiamos visos veiklos funkcijų perdavimo sutartys, įskaitant vidines sutartis su paslaugų teikėjais toje pačioje grupėje;
III SKYRIUS
VEIKLOS FUNKCIJŲ PERDAVIMO VALDYMO SISTEMA
11. Įstaiga į vidaus kontrolės ir rizikos valdymo sistemą turi įtraukti rizikos, kylančios dėl veiklos funkcijų perdavimo, nustatymą ir valdymą.
12. Įstaiga turi parengti ir patvirtinti veiklos funkcijų perdavimo politiką (toliau – Politika), kuria vadovaujantis Įstaigoje bus valdoma su veiklos funkcijų perdavimu susijusi rizika. Politika turi būti reguliariai persvarstoma ir atnaujinama.
13. Politika turi apimti visus pagrindinius veiklos funkcijų perdavimo proceso etapus ir nustatyti su veiklos funkcijų perdavimu susijusius principus, pareigas ir atsakomybę. Politikoje, be kita ko, turi būti:
13.2. aprašytas verslo linijų, asmenų, atsakingų už vidaus kontrolės funkcijų vykdymą ir veiklos funkcijų perdavimo proceso dokumentavimą, valdymą ir kontrolę, vaidmuo, pareigos ir atsakomybė veiklos funkcijų perdavimo procese;
13.3. aptarti visi veiklos funkcijų perdavimo proceso etapai – svarbių funkcijų nustatymo kriterijai ir procedūros, rizikos nustatymas, vertinimas ir valdymas, potencialių paslaugų teikėjų vertinimas, galimų interesų konfliktų nustatymo, vertinimo, valdymo ir mažinimo procedūros, veiklos tęstinumo planavimo, naujų veiklos funkcijų perdavimo sutarčių patvirtinimo procesas;
13.4. nustatytos veiklos funkcijų perdavimo sutarčių įgyvendinimo, stebėsenos ir valdymo procedūros – nuolatinio paslaugos teikėjo veiklos vertinimo ir paslaugų kokybės stebėjimo ir vertinimo procedūros, pranešimo ir reagavimo į su veiklos funkcijų perdavimo sutartimi ar paslaugų teikėju susijusius pasikeitimus procedūros, teisės aktuose nustatytų reikalavimų laikymosi peržiūros ir audito, sutarties pratęsimo procesai;
13.5. nustatytos veiklos funkcijų perdavimo proceso dokumentavimo ir informacijos saugojimo procedūros;
13.6. aprašytas pasitraukimo iš sutarties strategijos ir sutarties nutraukimo procesas, kuris, be kita ko, turi apimti dokumentuotą pasitraukimo planą, atsižvelgiant į kiekvieną svarbią funkciją, kurią numatoma perduoti;
14. Politikoje turi būti aiškiai atskirtos:
14.2. perduodamos veiklos funkcijos paslaugų teikėjams, kuriems perimamoms funkcijoms atlikti reikalingas leidimas, nuo perduodamų funkcijų, kurioms nereikia leidimo;
14.3. perduodamos veiklos funkcijos Įstaigos grupės viduje nuo veiklos funkcijų, perduodamų Įstaigos grupei nepriklausantiems paslaugų teikėjams;
15. Laikydamasi proporcingumo principo, Įstaiga turi arba įsteigti veiklos funkcijų perdavimo administravimo pareigybę, arba paskirti Įstaigos organui tiesiogiai atskaitingą darbuotoją, atsakingą už veiklos funkcijų perdavimo rizikos valdymą ir priežiūrą, arba, užtikrindama aiškų veiklos funkcijų perdavimo sutarčių administravimo, užduočių kontrolės ir atsakomybės sričių pasiskirstymą, pavesti veiklos funkcijų perdavimo kontrolės funkciją Įstaigos organui ar Įstaigos organo nariui.
16. Nustatydama, vertindama ir valdydama interesų konfliktus, susijusius su veiklos funkcijų perdavimu, Įstaiga turi taikyti vienodą praktiką visiems paslaugų teikėjams, nepriklausomai nuo to, ar paslaugos teikėjas priklauso Įstaigos grupei, ar jis yra bet kuris kitas paslaugą teikiantis asmuo.
17. Įstaiga veiklos tęstinumo planuose turi numatyti galimus įvykius, susijusius su svarbių veiklos funkcijų perdavimu, dėl kurių iki nepriimtino lygio pablogėtų svarbių veiklos funkcijų teikimo kokybė arba paslauga būtų nebeteikiama, taip pat šiuos planus persvarstyti ir atnaujinti bei reguliariai testuoti.
18. Įstaigos vidaus auditas į savo planus turi įtraukti Įstaigos veiklos funkcijų perdavimo proceso tikrinimą ir daugiausia dėmesio skirti perduotoms svarbioms veiklos funkcijoms. Tikrindamas Įstaigos veiklos funkcijų perdavimo procesą, vidaus auditas turi įsitikinti:
18.1. ar veiklos funkcijų perdavimo procesas, įskaitant Politiką, yra tinkamai ir veiksmingai įgyvendinamas, atitinka įstatymų, kitų teisės aktų reikalavimus, Įstaigos rizikos strategiją ir Įstaigos organo sprendimus;
18.3. ar Įstaiga tinkamai, veiksmingai ir kokybiškai atlieka su perduodamomis veiklos funkcijomis susijusios rizikos vertinimą, ir tai, ar prisiimama rizika atitinka Įstaigos rizikos strategiją;
20. Į registrą turi būti įtrauktos visos veiklos funkcijų perdavimo sutartys, atskiriant svarbių veiklos funkcijų perdavimo sutartis nuo kitų veiklos funkcijų perdavimo sutarčių. Registro duomenys apie pasibaigusias veiklos funkcijų perdavimo sutartis turi būti saugomi 5 metus nuo sutarčių galiojimo pabaigos.
21. Į registrą turi būti įtraukiami šie duomenys:
21.2. veiklos funkcijų perdavimo sutarties įsigaliojimo data, jei sutartis pratęsiama, – sutarties pratęsimo data, sutarties galiojimo pabaigos data, pranešimo apie sutarties nutraukimą laikotarpiai, taikomi tiek paslaugų teikėjui, tiek Įstaigai;
21.3. perduodamos veiklos funkcijos rūšies pavadinimas (pvz., informacinių technologijų, kontrolės funkcija);
21.4. trumpas perduodamos veiklos funkcijos aprašymas, nurodant paslaugų teikėjui perduodamus duomenis ir informaciją, ar bus perduodami asmens duomenys ir ar paslaugų teikėjas tvarkys asmens duomenis;
21.5. paslaugų teikėjo pavadinimas, juridinio asmens kodas, buveinės adresas, jei yra, patronuojančiosios įstaigos pavadinimas ir kiti svarbūs kontaktiniai duomenys;
21.6. valstybė ar valstybės, kuriose arba iš kurių bus teikiama paslauga, įskaitant duomenų buvimo vietą;
21.7. vertinimas, ar funkcija laikoma svarbia, ir priežasčių, dėl kurių funkcija laikoma svarbia, santrauka;
21.8. debesijos paslauga ir jos modelis, nurodant, ar ji vieša, privati, mišri, ar debesijos paslauga yra bendruomenės lygmeniu teikiama paslauga, saugotinų duomenų pobūdis;
22. Kai perduodama svarbi veiklos funkcija, į registrą turi būti įtraukti šie papildomi duomenys:
22.1. kitos tai pačiai Įstaigos grupei priklausančios Įstaigos, kurios naudojasi to paties teikėjo paslaugomis;
22.8. paslaugos teikėjo pakeičiamumo vertinimas (pakeisti lengva, sunku arba neįmanoma), Įstaigos galimybės pačiai vykdyti svarbią funkciją arba svarbios funkcijos nebevykdymo poveikis;
23. Įstaiga turi sudaryti galimybes Lietuvos bankui gauti registre esančius duomenis ir šiuos duomenis Lietuvos bankui turi pateikti elektroniniu formatu, kurį būtų galima tvarkyti (kopijuoti, rūšiuoti, redaguoti ir pan.). Be to, jeigu Lietuvos bankas reikalauja, Įstaiga turi pateikti visą reikalingą informaciją priežiūros funkcijai vykdyti, įskaitant veiklos funkcijų perdavimo sutarčių kopijas.
IV SKYRIUS
VEIKLOS FUNKCIJOS, KURIOS NEGALI BŪTI PERDUODAMOS, IR VEIKLOS FUNKCIJOS, KURIŲ PERDAVIMAS NĖRA LAIKOMAS VEIKLOS FUNKCIJŲ PERDAVIMU
24. Įstaiga kitiems asmenims negali perduoti Įstaigos organo ir komitetų, jeigu jie Įstaigoje sudaryti, atsakomybės ir pareigų. Įstaigos organas ir komitetai visiškai atsako už šias funkcijas:
24.1. sąlygų, kurias Įstaiga privalo nuolat tenkinti, kad turėtų leidimą vykdyti veiklą, užtikrinimą;
24.5. kasdienio Įstaigos valdymo priežiūrą, įskaitant su veiklos funkcijų perdavimu susijusių visų rizikos rūšių valdymą;
25. Įstaiga, priimdama sprendimą perduoti vykdyti Įstaigos veiklos funkcijas kitiems asmenims, turi užtikrinti stabilią ir tvarią Įstaigos veiklą, taip pat Įstaiga turi turėti organizacinę struktūrą ir netapti veiklos nevykdančiu subjektu (angl. empty shell).
26. Įstaiga, vertindama, ar konkreti sutartis laikytina veiklos funkcijų perdavimu, turi atsižvelgti, ar funkcija, kurią ketinama perduoti, paprastai yra priskiriama tai Įstaigai būdingoms reguliarioms arba nuolatinėms funkcijoms (net jeigu Įstaiga anksčiau tos funkcijos neatliko). Jeigu sutartis su paslaugos teikėju apima kelias funkcijas, turi būti įvertinti visi šios sutarties aspektai.
27. Veiklos funkcijų perdavimu nelaikomos:
27.1. funkcijos, kurias kitas asmuo turi atlikti pagal teisės aktų reikalavimus (pvz., privalomas auditas);
27.2. rinkos informacijos paslaugos (pvz., „Bloomberg“,‘ „Moody‘s“, „Standard & Poor‘s“, „Fitch“ duomenų teikimas);
27.4. tarpuskaitos (kliringo) ir atsiskaitymo sutartys tarp tarpuskaitos (kliringo) įstaigų, pagrindinių sandorio šalių ir atsiskaitymo įstaigų ir jų narių;
27.7. funkcijos, kurios įprastai nėra būdingos Įstaigos veiklai (pvz., teisinės konsultacijos ir atstovavimas, Įstaigos automobilių priežiūra, viešasis matinimas, kelionių paslaugos, architekto konsultacija, Įstaigos patalpų valymas ir aplinkos priežiūra, medicinos paslaugos, pardavimo automatų paslaugos, kanceliarinės paslaugos, pašto paslaugos, priimamojo, sekretorių, dispečerių paslaugos ir pan.), prekių (pvz., kompiuteriai, baldai, raštinės reikmenys, plastikinės kortelės, kortelių skaitytuvai ir pan.) arba komunalinių paslaugų įsigijimas.
V SKYRIUS
VEIKLOS FUNKCIJŲ PERDAVIMO PROCESAS
28. Įstaiga, prieš sudarydama veiklos funkcijų perdavimo sutartį, turi:
28.1. įvertinti, ar perduodamos veiklos funkcijos priskirtinos prie svarbių funkcijų, kaip nurodyta Taisyklių 29 ir 30 punktuose;
28.2. įvertinti, ar tenkinamos, kai taikoma, Taisyklių 31 ir 32 punktuose nustatytos veiklos funkcijų perdavimo priežiūros sąlygos;
PIRMASIS SKIRSNIS
SVARBIŲ FUNKCIJŲ NUSTATYMAS
29. Įstaiga visada turi laikyti funkciją svarbia:
29.1. jeigu dėl funkcijos nevykdymo arba netinkamo vykdymo nebūtų užtikrinama galimybė Įstaigai laikytis Įstaigos veiklą reglamentuojančių teisės aktų reikalavimų, jei tai galėtų reikšmingai pakenkti Įstaigos finansiniams rezultatams, Įstaigos teikiamų paslaugų ir veiklos tęstinumui ir patikimumui;
29.2. jeigu perduodamos vidaus kontrolės funkcijos užduotys, išskyrus atvejus, kai atlikus vertinimą nustatoma, kad perduotos funkcijos nesuteikimas arba netinkamas suteikimas nepadarytų neigiamo poveikio vidaus kontrolės funkcijos veiksmingumui;
29.3. jeigu perduodama funkcija, kuriai vykdyti reikalingas priežiūros institucijos leidimas, kiek tai neprieštarauja teisės aktų reikalavimams;
29.4. jeigu perduodama funkcija yra susijusi su pagrindinėmis verslo linijomis ir ypač svarbiomis funkcijomis, kaip tai apibrėžta Lietuvos Respublikos finansinio tvarumo įstatymo 2 straipsnio 10 punkte, išskyrus atvejus, kai Įstaiga, atlikusi vertinimą, nustato, kad perduotos funkcijos nesuteikimas nepadarys neigiamo poveikio pagrindinės verslo linijos ar svarbios funkcijos tęstinumui;
30. Kitais, negu numatyta Taisyklių 29 punkte, atvejais Įstaiga, vertindama, ar perduodamos veiklos funkcijos yra svarbios, turi atsižvelgti į rizikos vertinimo, atlikto vadovaujantis Taisyklių 33–35 punktais, rezultatus ir įvertinti šiuos veiksnius:
30.1. ar veiklos funkcijų perdavimo sutartis yra tiesiogiai susijusi su Įstaigos paslaugų teikimo veikla, kuriai ji turi priežiūros institucijos leidimą;
30.2. jeigu veiklos funkcijų perdavimo paslauga nutrūktų arba paslaugos teikėjai nesugebėtų užtikrinti sutartyje numatyto paslaugų kokybės lygio, Įstaiga turi įvertinti galimą poveikį Įstaigos:
30.2.1. trumpalaikiam ir ilgalaikiam finansiniam atsparumui ir gyvybingumui, įskaitant, jei taikoma, turtą, kapitalą, sąnaudas, finansavimą, likvidumą, pelną ir nuostolius;
30.2.3. operacinei rizikai, įskaitant elgesio, informacinių ir ryšių technologijų (IRT) ir teisinę riziką;
30.3. ar veiklos funkcijų perdavimo sutartis gali turėti poveikį Įstaigos gebėjimui:
30.5. visas veiklos funkcijų perdavimo sutartis, Įstaigos bendrą poziciją to paties paslaugos teikėjo atžvilgiu ir galimą bendrą poveikį dėl veiklos funkcijų perdavimo koncentracijos toje pačioje verslo srityje;
ANTRASIS SKIRSNIS
VEIKLOS FUNKCIJŲ PERDAVIMO PRIEŽIŪROS SĄLYGOS
31. Įstaiga turi užtikrinti, kad veiklos funkcijos, kai joms vykdyti reikalingas Lietuvos banko leidimas ir tai neprieštarauja teisės aktų reikalavimams, būtų perduodamos Lietuvos Respublikoje arba EEE įsteigtam paslaugų teikėjui tik tada, jeigu paslaugų teikėjas turi Lietuvos banko arba EEE valstybės narės priežiūros institucijos leidimą vykdyti tokią veiklą arba teikti paslaugas.
32. Įstaiga turi užtikrinti, kad veiklos funkcijos, kai joms vykdyti reikalingas Lietuvos banko leidimas ir tai neprieštarauja teisės aktų reikalavimams, būtų perduodamos ne EEE įsteigtam paslaugų teikėjui tik esant šioms sąlygoms:
32.1. paslaugų teikėjas turi leidimą vykdyti tokią veiklą arba teikti paslaugą ne EEE ir jo priežiūrą atlieka ne EEE valstybės priežiūros institucija;
TREČIASIS SKIRSNIS
RIZIKOS VERTINIMAS
33. Įstaiga, prieš sudarydama veiklos funkcijų perdavimo sutartį, turi įvertinti galimą veiklos funkcijų perdavimo poveikį Įstaigos operacinei rizikai, atsižvelgti į šio poveikio vertinimo rezultatus, nuspręsti, ar sudaryti veiklos funkcijų perdavimo sutartį, ir imtis reikiamų veiksmų, kad būtų išvengta nepagrįstos papildomos operacinės rizikos.
34. Vertindama riziką, Įstaiga taiko kiekybinius ir (arba) kokybinius rizikos vertinimo metodus. Rizikos vertinimas turi apimti galimų rizikų scenarijus, įskaitant didelio poveikio operacinės rizikos įvykius. Atlikdama analizę pagal scenarijus, Įstaiga turi įvertinti galimą paslaugų neteikimo arba netinkamo teikimo poveikį, apimantį procesų, sistemų, žmogaus įtakos ar išorės įvykius. Rizikos vertinimas ir jo rezultatai turi būti dokumentuoti.
35. Atlikdama rizikos vertinimą, Įstaiga turi atsižvelgti į tikėtiną veiklos funkcijų perdavimo sutarties naudą ir sąnaudas, visapusiškai įvertinti tiek riziką, kurią bus galima sumažinti arba geriau valdyti sudarius veiklos funkcijų perdavimo sutartį, tiek riziką, kuri gali kilti sudarius veiklos funkcijų perdavimo sutartį.
36. Atlikdama rizikos vertinimą, Įstaiga turi įvertinti:
36.1. koncentracijos riziką (pvz., ar paslaugos užsakomos iš dominuojančią padėtį užimančio paslaugų teikėjo, kurio negalima lengvai pakeisti; ar su tuo pačiu paslaugų teikėju ar su juo glaudžiai susijusiais paslaugų teikėjais sudaromos kelios ar dauguma veiklos funkcijų perdavimo sutarčių);
36.2. bendrą riziką, kylančią dėl Įstaigos perduodamų keleto veiklos funkcijų vykdymo paslaugų, o Įstaigų grupių atveju – bendrą riziką, vertinamą konsoliduotai;
36.3. riziką, kuri gali kilti dėl galimo poreikio sunkumų patiriančiam paslaugų teikėjui teikti finansinę paramą arba, taikant pertvarkymo priemones, perimti jo veiklos operacijas;
37. Jeigu veiklos funkcijų perdavimo sutartyje numatyta galimybė paslaugos teikėjams subrangos būdu pavesti svarbių funkcijų vykdymą kitiems paslaugų teikėjams, Įstaiga turi įvertinti:
37.1. su subrangos būdu perduodamų veiklos funkcijų perdavimu sietiną riziką, įskaitant papildomą riziką, kuri gali kilti, jeigu subrangovas yra įsisteigęs ne EEE arba kitoje valstybėje nei paslaugų teikėjas;
38. Tiek atlikdama rizikos vertinimą prieš sudarant veiklos funkcijų perdavimo sutartis, tiek vykdydama nuolatinę svarbių funkcijų teikėjo veiklos rezultatų stebėseną, Įstaiga turi:
38.1. įvertinti su perduodamomis veiklos funkcijomis susijusių duomenų ir sistemų jautrumą ir reikalingas apsaugos priemones, atlikti išsamią rizika grindžiamą tų duomenų ir sistemų analizę ir įvertinti galimą riziką ir priežiūros apribojimus, susijusius su valstybėmis, kuriose arba iš kurių gali būti teikiamos perduodamos veiklos funkcijos ir kuriose bus laikomi duomenys;
38.3. atsižvelgti į paslaugų teikėjo buvimo vietos politinį stabilumą ir saugumą, įskaitant įstatymuose nustatytus reikalavimus, paslaugų teikėjo nemokumą reglamentuojančius teisės aktus ir visus apribojimus, kurių atsirastų bandant skubiai atgauti Įstaigos duomenis;
38.4. nustatyti tinkamą duomenų konfidencialumo apsaugos, su veiklos funkcijų perdavimo paslaugomis susijusios veiklos tęstinumo, duomenų ir sistemų vientisumo ir atsekamumo lygį ir priimti su tuo susijusius sprendimus. Įstaiga turi numatyti konkrečias priemones, susijusias su perduodamais duomenimis, laikmenose laikomais duomenimis ir nenaudojamais duomenimis (šifravimo technologijos, kartu su tinkama pagrindine valdymo architektūra);
KETVIRTASIS SKIRSNIS
PASLAUGŲ TEIKĖJO TINKAMUMO VERTINIMAS
39. Įstaiga, prieš sudarydama veiklos funkcijų perdavimo sutartį, turi įvertinti paslaugų teikėjo tinkamumą. Vertindama paslaugos teikėją, Įstaiga turi atsižvelgti į paslaugų teikėjo:
39.6. jei taikoma, leidimo vykdyti perduodamas funkcijas visu veiklos funkcijų perdavimo sutarties galiojimo laikotarpiu turėjimą;
VI SKYRIUS
VEIKLOS FUNKCIJŲ PERDAVIMO SUTARČIAI TAIKOMI REIKALAVIMAI
41. Svarbių veiklos funkcijų perdavimo sutartyje turi būti numatyta:
41.2. sutarties įsigaliojimo ir pabaigos (jei sudaroma terminuota sutartis) datos, paslaugų teikėjui ir Įstaigai taikomi pranešimų terminai ir laikotarpiai;
41.5. valstybė, kurioje arba iš kurios bus vykdoma svarbi funkcija ir (arba) kurioje bus laikomi svarbūs duomenys, įskaitant galimą duomenų saugojimo vietą ir šių duomenų saugojimo sąlygas, kurios turi būti įvykdytos, taip pat reikalavimą pranešti Įstaigai, jeigu paslaugų teikėjas pasiūlytų pakeisti duomenų saugojimo vietą;
41.6. jei taikoma, svarbių duomenų prieinamumo, saugojimo vietos, vientisumo, privatumo ir apsaugos nuostatos;
41.8. sutarti paslaugų lygiai, kuriems turi būti nustatytos tikslios kiekybinės ir kokybinės perduotos funkcijos veiklos rezultatų reikšmės, kad Įstaiga galėtų laiku vykdyti perduotos veiklos funkcijos stebėseną ir nedelsiant imtis reikalingų veiksmų, jeigu sutarti paslaugų lygiai nebūtų pasiekti;
41.9. paslaugų teikėjo pareiga teikti Įstaigai ataskaitas ir informaciją, reikalingą veiklos funkcijų perdavimo sutarčių, ypač svarbių veiklos funkcijų perdavimo sutarčių stebėsenai ir kontrolei vykdyti, įskaitant paslaugų teikėjo pranešimus apie visus pakeitimus, kurie gali padaryti didelį poveikį paslaugų teikėjo gebėjimui veiksmingai vykdyti svarbią funkciją sutartu paslaugų lygiu ir laikantis teisės aktų reikalavimų ir Įstaigos prašymu teikti paslaugų teikėjo vidaus audito ataskaitas;
41.10. jei taikoma, reikalavimas paslaugų teikėjui turėti tam tikrų rūšių rizikos draudimą ir prašomos draudimo apsaugos lygis;
41.12. nuostatos, kuriomis užtikrinama, kad Įstaigos duomenys būtų prieinami Įstaigai paslaugų teikėjo nemokumo, pertvarkymo ar veiklos nutraukimo atvejais;
41.13. paslaugų teikėjo pareiga bendradarbiauti su Įstaigos priežiūros ir pertvarkymo institucijomis, įskaitant kitus šių institucijų paskirtus asmenis;
41.14. jei taikoma, nuostatos, užtikrinančios teisės aktuose nustatytus pertvarkymo institucijos įgaliojimus;
41.15. Įstaigos ir priežiūros institucijos teisė atlikti paslaugų teikėjo patikrinimus ir auditą, kiek tai susiję su perduotų veiklos funkcijų vykdymu;
PIRMASIS SKIRSNIS
SVARBIŲ VEIKLOS FUNKCIJŲ PERDAVIMAS SUBRANGOS BŪDU
42. Jeigu svarbių veiklos funkcijų perdavimą subrangos būdu Įstaiga leidžia, rašytinėje sutartyje turi būti:
42.1. nuostata dėl galimybės perleisti svarbios funkcijos vykdymą subrangos pagrindu ir subrangos būdu perleidžiamoms paslaugoms taikomos sąlygos;
42.4. nustatyta paslaugos teikėjo pareiga vykdyti subrangos būdu perduodamų paslaugų teikimo priežiūrą užtikrinant, kad būtų nuolat vykdomi visi paslaugų teikėjo sutartiniai įsipareigojimai;
42.5. įtvirtintas reikalavimas, kad, prieš perduodamas duomenis subrangos būdu, paslaugos teikėjas iš anksto gautų Įstaigos sutikimą;
42.6. įtvirtinta paslaugos teikėjo pareiga pranešti Įstaigai apie visus atvejus, kai numatoma perduoti paslaugas subrangos būdu, arba su subranga susijusius reikšmingus pakeitimus, kai tai gali padaryti poveikį paslaugos teikėjo gebėjimui vykdyti savo pareigas pagal veiklos funkcijų perdavimo sutartį. Tai apima numatomus, su subrangovu susijusius pokyčius ir pranešimo laikotarpį, per kurį įstaiga galėtų įvertinti siūlomų pakeitimų riziką ir pareikšti prieštaravimą dėl pakeitimų prieš įsigaliojant numatomam perdavimui subrangos būdu arba prieš įgyvendinant su subranga susijusius svarbius pokyčius;
42.7. įtvirtinta Įstaigos teisė pareikšti prieštaravimą dėl numatomo veiklos funkcijų perdavimo subrangos būdu ar su subranga susijusių svarbių pakeitimų, arba numatytas aiškus Įstaigos pritarimo numatomam veiklos funkcijų perdavimui subrangos būdu reikalavimas;
43. Įstaiga leidžia perduoti veiklos funkcijas subrangos būdu tik tada, jeigu subrangovas įsipareigoja laikytis visų teisės aktų reikalavimų ir sutartinių įsipareigojimų bei suteikti Įstaigai ir priežiūros institucijai tokias pat prieigos ir audito teises, kokias suteikia paslaugos teikėjas.
44. Įstaiga turi užtikrinti, kad paslaugos teikėjas tinkamai vykdytų subrangovų priežiūrą vadovaudamasis Įstaigos parengta Politika. Jeigu siūlomas veiklos funkcijų perdavimas subrangos būdu galėtų padaryti didelį neigiamą poveikį perduotų svarbių veiklos funkcijų vykdymui arba padidėtų rizika, įskaitant atvejus, kai nesilaikoma Taisyklių 43 punkte nustatytų sąlygų, Įstaiga turi pasinaudoti teise pareikšti prieštaravimą dėl perdavimo subrangos būdu, jeigu dėl tokios teisės buvo susitarta, ir (arba) nutraukti sutartį.
ANTRASIS SKIRSNIS
INFORMACINIŲ TECHNOLOGIJŲ SAUGUMO STANDARTAI IR NESKELBTINOS INFORMACIJOS APSAUGA
45. Įstaiga turi užtikrinti, kad reikiamais atvejais paslaugos teikėjas laikytųsi informacinių technologijų saugumo standartų.
46. Įstaiga veiklos funkcijų perdavimo sutartyje turi nustatyti duomenų ir sistemų saugumo reikalavimus ir nuolat stebėti, kaip jų laikomasi.
47. Kai tvarkomi arba perduodami asmens ar konfidencialūs duomenys, Įstaiga veiklos funkcijų perdavimo sutartyje turi nustatyti asmens duomenų saugojimo ir duomenų tvarkymo vietos (valstybės ar regiono) reikalavimus.
48. Įstaiga turi užtikrinti, kad veiklos funkcijų perdavimo sutartyje būtų įtvirtintas paslaugos teikėjo įpareigojimas užtikrinti konfidencialios informacijos, asmens duomenų ar kitos neskelbtinos informacijos apsaugą ir laikytis visų Įstaigai taikomų teisės aktų reikalavimų dėl duomenų ir informacijos apsaugos.
TREČIASIS SKIRSNIS
PRIEŽIŪROS IR PERTVARKYMO INSTITUCIJŲ TEISĖS
49. Visose veiklos funkcijų perdavimo sutartyse turi būti numatytos priežiūros ir pertvarkymo institucijų teisės gauti reikalingą informaciją priežiūros ir pertvarkymo funkcijoms vykdyti.
50. Svarbių veiklos funkcijų perdavimo sutartyje turi būti nustatytos Įstaigos, priežiūros ir pertvarkymo institucijų bei kitų Įstaigos, priežiūros ir pertvarkymo institucijų paskirtų asmenų teisės:
50.1. galimybė patekti į patalpas, įskaitant galimybę susipažinti su visa svarbia įranga, sistemomis, tinklais, informacija ir duomenimis, naudojamais teikiant perduotos veiklos funkcijos paslaugą, taip pat galimybę susipažinti su susijusia finansine informacija, gauti informaciją iš darbuotojų ir paslaugos teikėjo išorės auditorių;
KETVIRTASIS SKIRSNIS
VEIKLOS FUNKCIJOS PERDAVIMO AUDITAS
51. Svarbių veiklos funkcijų perdavimo sutartyje turi būti užtikrinta Įstaigos vidaus audito teisė atlikti veiklos funkcijos perdavimo paslaugos auditą.
52. Prie svarbių veiklos funkcijų nepriskiriamų kitų veiklos funkcijų perdavimo atveju Įstaiga turi užsitikrinti prieigos ir audito teises taikant rizika pagrįstą metodą, atsižvelgdama į perduodamos veiklos funkcijos pobūdį ir susijusią operacinę ir reputacijos riziką, mastą, galimą poveikį veiklos tęstinumui ir sutarties galiojimo laikotarpį. Įstaiga turi atsižvelgti į tai, ar funkcija gali vėliau tapti svarbia.
53. Įstaiga turi naudotis savo prieigos ir audito teisėmis, nustatyti audito dažnį ir audituotinas sritis, taikydama rizika pagrįstą metodą, ir laikytis visuotinai pripažįstamų nacionalinių ir tarptautinių audito standartų.
54. Nepažeisdama principo, pagal kurį Įstaigai tenka galutinė atsakomybė už veiklos funkcijų perdavimo sutartis, Įstaiga gali pasirinkti vieną iš šių audito būdų:
54.2. kartu su kitais to paties paslaugų teikėjo klientais organizuoti bendrąjį auditą, kurį gali atlikti patys paslaugų teikėjo klientai arba jų paskirti asmenys;
55. Perduodama svarbias veiklos funkcijas, Įstaiga turi įvertinti, ar trečiosios šalies teikiami sertifikatai bei išorės ir vidaus audito ataskaitos yra tinkamos ir pakankamos.
56. Svarbių funkcijų vykdymo perdavimo atveju Įstaiga turi naudotis Taisyklių 54.3 papunktyje nurodytu būdu tik tada, jeigu ji:
56.2. įsitikina, kad sertifikatas arba audito ataskaitos apima sistemas (procesus, taikomąsias programas, infrastruktūrą, duomenų centrus ir pan.), Įstaigos nustatytas pagrindines kontrolės priemones ir užtikrina teisės aktuose nustatytų reikalavimų laikymąsi;
56.3. nuolat išsamiai vertina sertifikatų arba audito ataskaitų turinį ir tikrina, kad ataskaitos nebūtų praradusios aktualumo, sertifikatai būtų laiku atnaujinami;
56.4. įsitikina, kad pagrindinės sistemos ir kontrolės priemonės yra įtrauktos į kitas sertifikato arba audito ataskaitos redakcijas;
56.5. įsitikina, kad sertifikatą suteikianti arba auditą atliekanti trečioji šalis yra tinkama, patikima, turinti tinkamos patirties ir kvalifikaciją, ir kt.;
56.6. įsitikina, kad sertifikatai išduodami ir auditas atliekamas taikant atitinkamus visuotinai pripažįstamus profesinius standartus ir apima įdiegtų pagrindinių kontrolės priemonių operacinio veiksmingumo patikrinimą;
56.7. turi veiklos funkcijų perdavimo sutartyje įtvirtintą teisę prašyti išplėsti sertifikavimo arba auditų apimtį, kad būtų įtraukiamos kitos svarbios sistemos ir kontrolės priemonės; tokių prašymų skaičius ir dažnis turi būti nuosaikus ir rizikos valdymo požiūriu pagrįstas;
57. Svarbių funkcijų perdavimo sutarčių atvejais, jei taikoma, Įstaiga turi užsitikrinti teisę ir galimybę atlikti saugumo įsiskverbimo testavimus ir įvertinti įdiegtų kibernetinių bei vidaus informacinių ir ryšių technologijų (IRT) saugumo priemonių ir procesų veiksmingumą.
58. Atliekant bendruosius auditus, kai tikrinama paslauga teikiama keliems ar daugeliui to paties paslaugų teikėjo klientų, Įstaiga turi užtikrinti, kad nebus pažeista kitų klientų duomenų apsauga ir informacijos konfidencialumas, nebus neigiamai paveikta paslaugų kitiems klientams kokybė, paslaugų prieinamumas arba nebus sukelta kitokio pobūdžio rizika kitiems to paties paslaugų teikėjo klientams.
59. Jeigu perduotos veiklos funkcijos techniniu požiūriu sudėtingos, Įstaiga turi užtikrinti, kad vidaus arba išorės auditą atliekantys asmenys turėtų atitinkamų įgūdžių ir žinių, kad galėtų veiksmingai atlikti auditą ir (arba) vertinimą. Atitinkamų įgūdžių ir žinių turi turėti ir Įstaigos darbuotojai, vertinantys trečiosios šalies paslaugos teikėjui suteiktus sertifikatus arba paslaugų teikėjo atliktus auditus.
PENKTASIS SKIRSNIS
VEIKLOS FUNKCIJŲ PERDAVIMO SUTARTIES NUTRAUKIMAS
60. Svarbių funkcijų perdavimo sutartyse, be kita ko, turi būti numatyta teisė nutraukti sutartį:
60.2. kai nustatomos kliūtys, dėl kurių gali nutrūkti arba pablogėti perduotos veiklos funkcijos teikimas;
60.3. kai įvyksta pokyčiai, kurie reikšmingai keičia veiklos funkcijų perdavimo procesą arba turi reikšmingą įtaką paslaugos teikėjui;
60.4. kai nustatomi reikšmingi trūkumai, susiję su konfidencialios informacijos, asmens duomenų arba kitos viešai neskelbiamos informacijos valdymu ir saugumu;
61. Sutarties nutraukimo atveju turi būti nustatyta veiklos funkcijos vykdymo paslaugos perdavimo kitam paslaugų teikėjui arba jos reintegravimo į Įstaigą tvarka. Svarbių funkcijų perdavimo sutartyse turi būti numatyta:
61.1. paslaugų teikėjo prievolės, jeigu veiklos funkcijos vykdymas būtų perduodamas kitam paslaugų teikėjui arba pačiai Įstaigai;
61.2. tinkamas ir pakankamas pereinamasis laikotarpis, per kurį, nutraukus veiklos funkcijų perdavimo sutartį, paslaugų teikėjas ir toliau teiktų perduotos veiklos funkcijos vykdymo paslaugą;
VII SKYRIUS
PERDUOTŲ VEIKLOS FUNKCIJŲ VYKDYMO STEBĖSENA IR KONTROLĖ
62. Įstaiga, taikydama rizika pagrįstą metodą, turi nuolat stebėti paslaugų teikėjų teikiamų paslaugų lygį ir kokybę. Pagrindinis dėmesys turi būti skiriamas svarbių funkcijų vykdymo paslaugų prieinamumo, vientisumo, duomenų ir informacijos saugumo užtikrinimui. Jeigu iš esmės pasikeičia perduotos veiklos funkcijos pobūdis, mastas arba su perduotomis veiklos funkcijomis susijusi rizika, Įstaiga turi iš naujo įvertinti tos funkcijos svarbą.
63. Įstaiga reguliariai turi atnaujinti veiklos funkcijų perdavimo sutarčių ir paslaugos teikėjų rizikos vertinimą ir periodiškai teikti Įstaigos organui nustatytos su perduotų svarbių veiklos funkcijų vykdymu susijusios rizikos ataskaitas.
64. Įstaiga turi stebėti ir valdyti vidaus koncentracijos riziką, kylančią dėl veiklos funkcijų perdavimo.
65. Įstaiga turi užtikrinti nuolatinę veiklos funkcijų perdavimo sutarčių, ypač svarbių funkcijų vykdymo paslaugų sutarčių, stebėseną ir kontrolę, vadovaudamasi Įstaigos Politikoje nustatytais reikalavimais:
65.2. vertinti paslaugos teikėjų teikiamų paslaugų kokybę, naudodama pagrindinius veiklos, kontrolės ir rizikos rodiklius, paslaugų kokybės ataskaitas, vidaus ir išorės vertinimus;
VIII SKYRIUS
PASITRAUKIMO STRATEGIJA DĖL PERDUODAMŲ SVARBIŲ VEIKLOS FUNKCIJŲ
67. Įstaiga, rengdama Politikoje numatytą pasitraukimo strategiją dėl perduodamų svarbių veiklos funkcijų, turi:
67.2. parengti poveikio verslui analizę, atitinkančią veiklos funkcijų perdavimo procesų, paslaugų arba veiklos riziką, kad būtų galima nustatyti, kokių žmogiškųjų ir finansinių išteklių ir kiek laiko reikėtų pasitraukimo planui įgyvendinti;
67.3. nustatyti funkcijas ir pareigas ir skirti pakankamai išteklių, reikalingų pasitraukimo planams ir veiklos funkcijų perėmimui įgyvendinti ir valdyti;
67.5. nustatyti perduotų veiklos funkcijų kokybės lygio stebėsenos rodiklius, nustatant ir Įstaigai nepriimtiną perduotų veiklos funkcijų kokybės lygį, kuris galėtų lemti sutarties nutraukimą;
67.6. įvertinti veiklos funkcijų perdavimo sutarties nutraukimo, paslaugos teikėjo žlugimo dėl perduotos funkcijos kokybės pablogėjimo arba galimo veiklos nutrūkimo dėl netinkamo funkcijos vykdymo arba jos nevykdymo ir rizikos, keliančios grėsmę tinkamam ir nepertraukiamam funkcijos vykdymui, galimybes.
68. Įstaiga turi užtikrinti, kad gali nutraukti veiklos funkcijų perdavimo sutartis, nepagrįstai nesutrikdydama Įstaigos veiklos, neapribodama teisės aktuose nustatytų reikalavimų laikymosi ir nedarydama neigiamo poveikio paslaugų klientams teikimo tęstinumui ir kokybei, todėl Įstaiga turi:
68.1. planuose numatyti reikalingus išteklius ir laiką, poveikį, apskaičiuoti galimas išlaidas, įvertinti, kiek užtruktų paslaugų perdavimas alternatyviam paslaugų teikėjui;
68.2. nustatyti alternatyvius sprendimus ir parengti pereinamojo laikotarpio planus, kad Įstaiga galėtų sklandžiai perimti perduotas veiklos funkcijas ir duomenis iš paslaugų teikėjo ir perduoti alternatyviems paslaugų teikėjams arba pati galėtų vykdyti perimtas funkcijas, arba imtis kitų priemonių, kurios užtikrintų nepertraukiamą svarbios funkcijos arba Įstaigos veiklos vykdymą ir duomenų saugumą.
IX SKYRIUS
INFORMACIJOS APIE SVARBIŲ VEIKLOS FUNKCIJŲ PERDAVIMO SUTARTIS PATEIKIMAS LIETUVOS BANKUI IR PATEIKTOS INFORMACIJOS VERTINIMAS
69. Likus ne mažiau kaip 1 mėnesiui iki svarbių veiklos funkcijų perdavimo sutarties sudarymo dienos, Įstaiga privalo raštu pranešti Lietuvos bankui ir pateikti:
69.1. Pranešimą apie svarbių veiklos funkcijų perdavimo sutarties sudarymą, pateiktą Taisyklių priede;
70. Jeigu Įstaigos pateiktos informacijos nepakanka, kad būtų galima įvertinti Įstaigos prisiimamos rizikos mastą, Lietuvos bankas gali reikalauti, kad Įstaiga pateiktų papildomą informaciją.
71. Taisyklių 69 punkte nustatyti reikalavimai taikomi ir tada, kai numatoma reikšmingai pakeisti anksčiau sudarytos svarbių veiklos funkcijų perdavimo sutarties su tuo pačiu paslaugų teikėju sąlygas (pvz., numatoma išplėsti perkamų paslaugų mastą) arba šias paslaugas pradėti pirkti iš kito paslaugų teikėjo.
72. Lietuvos bankas per 1 mėnesį nuo Taisyklių 69 punkte nurodytų dokumentų gavimo dienos, o jei reikalaujama pateikti papildomą informaciją, – per 1 mėnesį nuo papildomos informacijos gavimo dienos įvertina Įstaigos sprendimą perduoti svarbias veiklos funkcijas.
73. Vadovaudamasis Įstaigos pateikta informacija, atsižvelgdamas į numatomų perduoti veiklos funkcijų pobūdį ir kompleksiškumą, paslaugų teikėjo patirtį, užimamą padėtį rinkoje ir kt., Lietuvos bankas vertina, kaip ketinama sudaryti veiklos funkcijų perdavimo sutartis atitinka Taisyklėse nustatytus reikalavimus, ar numatomas veiklos funkcijų perdavimas galėtų neigiamai paveikti Įstaigos vidaus kontrolę, rizikos valdymo sistemą ir Lietuvos banko galimybes vykdyti Įstaigos priežiūrą.
74. Jei nustatoma, kad ketinama sudaryti veiklos funkcijų perdavimo sutartis neatitinka Taisyklių, arba yra kitas teisės aktuose nustatytas pagrindas, Lietuvos bankas, vadovaudamasis Taisyklių 2 punkte nurodytų finansų rinkos dalyvių veiklą reglamentuojančiais įstatymais, gali nurodyti Įstaigai nesudaryti svarbių veiklos funkcijų perdavimo sutarties, pašalinti teisės aktų pažeidimus, sumažinti sutarties mastą arba atlikti kitus veiksmus (pvz., sudarant sutartį atsižvelgti į Lietuvos banko nustatytas papildomas sąlygas; numatyti alternatyvias rizikos mažinimo priemones ir kt.).
Finansų rinkos dalyvių veiklos funkcijų
perdavimo kitiems asmenims taisyklių
priedas
____________________________________________________
(įstaigos pavadinimas)
______________________________________________________
(kodas, adresas, tel., el. paštas)
PRANEŠIMAS APIE SVARBIŲ VEIKLOS FUNKCIJŲ PERDAVIMO SUTARTIES SUDARYMĄ
__________________
(data)
Bendra informacija apie svarbių veiklos funkcijų perdavimą
|
||
1. |
Numatomų perduoti svarbių veiklos funkcijų apibūdinimas (paslaugų pobūdis ir mastas)
|
|
[Tekstas]
|
||
2. |
Sprendimo perduoti svarbias veiklos funkcijas pagrindimas (nurodyti, kokios naudos tikisi Įstaiga, priimdama sprendimą dėl veiklos funkcijų perdavimo)
|
|
[Tekstas]
|
||
3. |
Paslaugų teikėjo, su kuriuo ketinama sudaryti svarbių veiklos funkcijų perdavimo sutartį, apibūdinimas (pavadinimas, buveinės adresas, kodas, veiklos pobūdis, patirtis, užimama padėtis rinkoje)
|
|
[Tekstas]
|
||
4. |
Informacija, kaip perduodamos svarbios veiklos funkcijos įtraukiamos į Įstaigos vidaus kontrolę ir rizikos valdymo sistemą
|
|
[Tekstas]
|
||
|
Informacija apie sutarties projekto atitiktį Taisyklėse nustatytiems reikalavimams
|
|
Taisyklių papunktis |
Svarbios veiklos funkcijos perdavimo sutarčiai nustatytas reikalavimas |
Reikalavimą įgyvendinantis sutarties punktas |
41.1. |
Numatomos perduoti funkcijos aprašymas |
|
41.2. |
Sutarties įsigaliojimo ir pabaigos (jei sudaroma terminuota sutartis) datos, paslaugų teikėjui ir Įstaigai taikomi pranešimų terminai ir laikotarpiai |
|
41.3. |
Sutarčiai taikoma teisė |
|
41.4. |
Sutarties šalių finansiniai įsipareigojimai |
|
41.5. |
Valstybė, kurioje arba iš kurios bus vykdoma svarbi funkcija ir (arba) kurioje bus laikomi svarbūs duomenys, įskaitant galimą duomenų saugojimo vietą ir šių duomenų saugojimo sąlygas, kurios turi būti įvykdytos, taip pat reikalavimą pranešti Įstaigai, jeigu paslaugų teikėjas pasiūlytų pakeisti duomenų saugojimo vietą |
|
41.6. |
Jei taikoma, nuostatos dėl svarbių duomenų prieinamumo, saugojimo vietos, vientisumo, privatumo ir apsaugos |
|
41.7. |
Įstaigos teisė nuolat vykdyti paslaugos teikėjo veiklos rezultatų stebėseną |
|
41.8 |
Sutarti paslaugų lygiai, kuriems turi būti nustatytos tikslios kiekybinės ir kokybinės perduotos funkcijos veiklos rezultatų reikšmės, kad Įstaiga galėtų laiku vykdyti perduotos veiklos funkcijos stebėseną ir nedelsdama imtis reikalingų veiksmų, jeigu sutarti paslaugų lygiai nebūtų pasiekti |
|
41.9. |
Paslaugų teikėjo pareiga teikti Įstaigai ataskaitas ir informaciją, reikalingą veiklos funkcijų perdavimo sutarčių, ypač svarbių veiklos funkcijų perdavimo sutarčių, stebėsenai ir kontrolei vykdyti, įskaitant paslaugų teikėjo pranešimus apie visus pakeitimus, kurie gali padaryti didelį poveikį paslaugų teikėjo gebėjimui veiksmingai vykdyti svarbią funkciją sutartu paslaugų lygiu ir laikantis teisės aktų reikalavimų ir Įstaigos prašymu teikti paslaugų teikėjo vidaus audito ataskaitas |
|
41.10. |
Jei taikoma, reikalavimas paslaugų teikėjui turėti tam tikrų rūšių rizikos draudimą ir prašomos draudimo apsaugos lygis |
|
41.11. |
Veiklos tęstinumo planų įgyvendinimo ir testavimo reikalavimai |
|
41.12. |
Nuostatos, kuriomis užtikrinama, kad Įstaigos duomenys būtų prieinami Įstaigai paslaugų teikėjo nemokumo, pertvarkymo ar veiklos nutraukimo atvejais |
|
41.13. |
Paslaugų teikėjo prievolė bendradarbiauti su Įstaigos priežiūros ir pertvarkymo institucijomis, įskaitant kitus jų paskirtus asmenis |
|
41.14. |
Nuostatos, užtikrinančios teisės aktuose nustatytus pertvarkymo institucijos įgaliojimus (jei taikoma) |
|
41.15. |
Neribota Įstaigos ir priežiūros institucijų teisė atlikti paslaugų teikėjo patikrinimus ir auditą, kiek tai susiję su perduotų veiklos funkcijų vykdymu |
|
41.16. |
Sutarties nutraukimo sąlygos |
|