PATVIRTINTA

Lietuvos banko valdybos

2020 m. lapkričio 10 d.

nutarimu Nr. 03-166

FINANSŲ RINKOS DALYVIŲ VEIKLOS FUNKCIJŲ PERDAVIMO KITIEMS ASMENIMS TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Finansų rinkos dalyvių veiklos funkcijų perdavimo kitiems asmenims taisyklėse (toliau – Taisyklės) nustatyti reikalavimai, taikomi Taisyklių 2 punkte nurodytiems finansų rinkos dalyviams, kai jie veiklos funkcijas perduoda kitiems asmenims, nustatyta veiklos funkcijų perdavimo kitiems asmenims valdymo sistema ir reikalavimai, taikomi veiklos funkcijų perdavimo sutartims, perduotų veiklos funkcijų vykdymo stebėsenai ir kontrolei, informacijos apie svarbių veiklos funkcijų perdavimo sutartis pateikimo Lietuvos bankui ir šios informacijos vertinimo tvarka.

2. Taisyklės taikomos Lietuvos Respublikoje įsteigtiems bankams, centrinėms kredito unijoms, kredito unijoms, išskyrus Taisyklių 7 punkte nustatytus atvejus, mokėjimo įstaigoms, išskyrus mokėjimo įstaigas, teikiančias tik sąskaitos informacijos paslaugą, elektroninių pinigų įstaigoms, finansų maklerio įmonėms ir mutatis mutandis Lietuvos Respublikoje įsteigtiems užsienio valstybių minėtų subjektų, licencijuotų ne Europos Sąjungos valstybėse narėse, filialams (toliau bet kuris iš šiame punkte nurodytų subjektų – Įstaiga).

Punkto pakeitimai:

Nr. 03-122, 2021-08-19, paskelbta TAR 2021-08-19, i. k. 2021-17746

3. Taisyklės parengtos atsižvelgiant į 2019 m. vasario 25 d. Europos bankininkystės institucijos gaires EBA/GL/2019/02 dėl užsakomųjų paslaugų.

4. Taisyklėse vartojamos sąvokos:

4.1. debesijos paslaugos – paslaugos, teikiamos naudojant debesijos kompiuteriją, t. y. modelį, kurį taikant galima visur, patogiai, pagal poreikį (angl. on-demand) per tinklo prieigą naudotis bendrais kompiuteriniais ištekliais (pvz., kompiuteriniais tinklais, serveriais, duomenų saugyklomis, taikomosiomis programomis ir paslaugomis), tuos išteklius valdant su minimaliu paslaugų tiekėjo įsikišimu;

4.2. funkcija – visi Įstaigos procesai, paslaugos arba veikla;

4.3. leidimas – priežiūros institucijos išduota licencija, leidimas ar atliktas veiksmas, suteikiantys teisę teikti licencines finansines paslaugas;

4.4. Įstaigos organas – Įstaigos stebėtojų taryba, valdyba arba vienasmenis valdymo organas, kurie pagal teisės aktų reikalavimus ir Įstaigos vidaus dokumentus atsakingi už Taisyklėse nustatytų reikalavimų įgyvendinimą;

4.5. veiklos funkcijų perdavimas kitiems asmenims (toliau – veiklos funkcijų perdavimas) – bet kokia Įstaigos ir paslaugų teikėjo sudaryta sutartis, pagal kurią paslaugų teikėjas įgyvendina procesą, teikia paslaugą arba vykdo veiklą, kuriuos įprastu atveju Įstaiga vykdytų pati;

4.6. veiklos funkcijų perdavimas subrangos būdu – situacija, kai paslaugų teikėjas pagal veiklos funkcijų perdavimo sutartį jam perduodamą veiklos funkciją perduoda vykdyti kitam paslaugų teikėjui (subrangovui).

5. Taisyklės taikomos proporcingai Įstaigos veiklai, t. y. reikalavimai įgyvendinami atsižvelgiant į Įstaigos dydį, veiklos pobūdį ir mastą, perduodamų veiklos funkcijų esmę, svarbą ir sudėtingumą. Įstaiga privalo atsižvelgti į riziką, susijusią su veiklos funkcijų perdavimu, ir veiklos funkcijų perdavimo galimą poveikį Įstaigos veiklos tęstinumui.

6. Įstaiga turi turėti pakankamos kompetencijos ir tinkamos kvalifikacijos išteklių, kad užtikrintų tinkamą veiklos funkcijų perdavimo sutarčių valdymą, priežiūrą, stebėseną ir kontrolę. Įstaiga atsako už Įstaigai teisės aktuose nustatytų reikalavimų vykdymą, įskaitant perduotų svarbių veiklos funkcijų priežiūrą ir kontrolės užtikrinimą.

7. Kai centrinė kredito unija Taisyklėse nustatytus reikalavimus įgyvendina centralizuotai, kredito unijoms, kurios yra šios centrinės kredito unijos narės, Taisyklėse nustatyti reikalavimai atskirai netaikomi.

II SKYRIUS

TAISYKLIŲ TAIKYMAS ĮSTAIGŲ GRUPĖMS

8. Įstaigų grupės, kurios konsoliduotą priežiūrą vykdo Lietuvos bankas, patronuojančioji Įstaiga grupės mastu turi užtikrinti, kad vidaus valdymo priemonės, procesai ir mechanizmai jos patronuojamosiose Įstaigose būtų nuoseklūs, integruoti ir tinkami veiksmingam Taisyklių taikymui visais lygmenimis.

9. Jeigu veiklos funkcijų perdavimo sutartis sudaroma tarp Įstaigų – grupės narių, Įstaigos turi laikytis šių reikalavimų:

9.1. veiklos funkcijas perduodančios Įstaigos organui ir toliau tenka visa atsakomybė už visų teisės aktuose nustatytų reikalavimų laikymąsi ir veiksmingą Taisyklių taikymą;

9.2. perduodama vidaus kontrolės užduotis dėl veiklos funkcijų perdavimo proceso stebėsenos ir audito paslaugų teikėjui, priklausančiam grupei, Įstaiga turi užtikrinti, kad ir šios perduodamos veiklos funkcijos vidaus kontrolė būtų veiksminga.

10. Įstaigų grupėje, kurioje yra įdiegtos tinkamos vidaus valdymo priemonės, procesai ir mechanizmai, turi būti užtikrinamos šios kontrolės galimybės:

10.1. kai perduotų veiklos funkcijų stebėsena ir kontrolė vykdoma centralizuotai, Įstaiga turi savarankiškai stebėti ir kontroliuoti, kaip vykdomos svarbios perduotos funkcijos (gauti ataskaitas iš centralizuotą kontrolę ir stebėseną vykdančio padalinio ar asmens, kuriose atskleidžiami rizikos vertinimo ir perduotų veiklos funkcijų stebėsenos rezultatai; gauti su perduotomis veiklos funkcijomis susijusias audito ataskaitas);

10.2. Įstaigos organas turi būti tinkamai informuojamas apie planuojamus pakeitimus, susijusius su centriniu lygmeniu stebimais paslaugų teikėjais, ir galimą pakeitimų poveikį svarbioms vykdomoms funkcijoms, įskaitant rizikos analizės santrauką;

10.3. kai išankstinis numatomų perduoti veiklos funkcijų ir paslaugų teikėjų rizikos vertinimas vykdomas centralizuotai, Įstaiga turi gauti išankstinio vertinimo santrauką ir įsitikinti, kad buvo atsižvelgta į konkrečios Įstaigos struktūrą ir įvertinta sprendimų priėmimo proceso rizika;

10.4. jeigu visų esamų veiklos funkcijų perdavimo sutarčių registras sukuriamas ir pildomas centralizuotai, turi būti užtikrintos Lietuvos banko ir kiekvienos Įstaigos teisės ir galimybės nedelsiant gauti atitinkamai visą registrą arba tik konkrečiai Įstaigai aktualių sutarčių registrą, į kurį įtraukiamos visos veiklos funkcijų perdavimo sutartys, įskaitant vidines sutartis su paslaugų teikėjais toje pačioje grupėje;

10.5. jeigu Įstaiga vadovaujasi grupės lygmeniu parengta pasitraukimo strategija dėl svarbių funkcijų, Įstaiga turi gauti plano santrauką ir patikrinti, ar planą galima veiksmingai įgyvendinti.

III SKYRIUS

VEIKLOS FUNKCIJŲ PERDAVIMO VALDYMO SISTEMA

11. Įstaiga į vidaus kontrolės ir rizikos valdymo sistemą turi įtraukti rizikos, kylančios dėl veiklos funkcijų perdavimo, nustatymą ir valdymą.

12. Įstaiga turi parengti ir patvirtinti veiklos funkcijų perdavimo politiką (toliau – Politika), kuria vadovaujantis Įstaigoje bus valdoma su veiklos funkcijų perdavimu susijusi rizika. Politika turi būti reguliariai persvarstoma ir atnaujinama.

13. Politika turi apimti visus pagrindinius veiklos funkcijų perdavimo proceso etapus ir nustatyti su veiklos funkcijų perdavimu susijusius principus, pareigas ir atsakomybę. Politikoje, be kita ko, turi būti:

13.1. apibrėžtos Įstaigos organo pareigos;

13.2. aprašytas verslo linijų, asmenų, atsakingų už vidaus kontrolės funkcijų vykdymą ir veiklos funkcijų perdavimo proceso dokumentavimą, valdymą ir kontrolę, vaidmuo, pareigos ir atsakomybė veiklos funkcijų perdavimo procese;

13.3. aptarti visi veiklos funkcijų perdavimo proceso etapai – svarbių funkcijų nustatymo kriterijai ir procedūros, rizikos nustatymas, vertinimas ir valdymas, potencialių paslaugų teikėjų vertinimas, galimų interesų konfliktų nustatymo, vertinimo, valdymo ir mažinimo procedūros, veiklos tęstinumo planavimo, naujų veiklos funkcijų perdavimo sutarčių patvirtinimo procesas;

13.4. nustatytos veiklos funkcijų perdavimo sutarčių įgyvendinimo, stebėsenos ir valdymo procedūros – nuolatinio paslaugos teikėjo veiklos vertinimo ir paslaugų kokybės stebėjimo ir vertinimo procedūros, pranešimo ir reagavimo į su veiklos funkcijų perdavimo sutartimi ar paslaugų teikėju susijusius pasikeitimus procedūros, teisės aktuose nustatytų reikalavimų laikymosi peržiūros ir audito, sutarties pratęsimo procesai;

13.5. nustatytos veiklos funkcijų perdavimo proceso dokumentavimo ir informacijos saugojimo procedūros;

13.6. aprašytas pasitraukimo iš sutarties strategijos ir sutarties nutraukimo procesas, kuris, be kita ko, turi apimti dokumentuotą pasitraukimo planą, atsižvelgiant į kiekvieną svarbią funkciją, kurią numatoma perduoti;

13.7. galimų svarbių veiklos funkcijų perdavimo pasekmių Įstaigos rizikos profiliui, gebėjimui vykdyti paslaugų teikėjo priežiūrą ir valdyti riziką bei gebėjimui užtikrinti veiklos tęstinumą ir vykdyti veiklą nustatymo aprašymas.

14. Politikoje turi būti aiškiai atskirtos:

14.1. perduodamos svarbios veiklos funkcijos nuo kitų perduodamų veiklos funkcijų;

14.2. perduodamos veiklos funkcijos paslaugų teikėjams, kuriems perimamoms funkcijoms atlikti reikalingas leidimas, nuo perduodamų funkcijų, kurioms nereikia leidimo;

14.3. perduodamos veiklos funkcijos Įstaigos grupės viduje nuo veiklos funkcijų, perduodamų Įstaigos grupei nepriklausantiems paslaugų teikėjams;

14.4. perduodamos veiklos funkcijos Europos ekonominėje erdvėje (EEE) įsteigtam paslaugų teikėjui nuo veiklos funkcijų, perduodamų paslaugų teikėjui, įsteigtam ne EEE.

15. Laikydamasi proporcingumo principo, Įstaiga turi arba įsteigti veiklos funkcijų perdavimo administravimo pareigybę, arba paskirti Įstaigos organui tiesiogiai atskaitingą darbuotoją, atsakingą už veiklos funkcijų perdavimo rizikos valdymą ir priežiūrą, arba, užtikrindama aiškų veiklos funkcijų perdavimo sutarčių administravimo, užduočių kontrolės ir atsakomybės sričių pasiskirstymą, pavesti veiklos funkcijų perdavimo kontrolės funkciją Įstaigos organui ar Įstaigos organo nariui.

16. Nustatydama, vertindama ir valdydama interesų konfliktus, susijusius su veiklos funkcijų perdavimu, Įstaiga turi taikyti vienodą praktiką visiems paslaugų teikėjams, nepriklausomai nuo to, ar paslaugos teikėjas priklauso Įstaigos grupei, ar jis yra bet kuris kitas paslaugą teikiantis asmuo.

17. Įstaiga veiklos tęstinumo planuose turi numatyti galimus įvykius, susijusius su svarbių veiklos funkcijų perdavimu, dėl kurių iki nepriimtino lygio pablogėtų svarbių veiklos funkcijų teikimo kokybė arba paslauga būtų nebeteikiama, taip pat šiuos planus persvarstyti ir atnaujinti bei reguliariai testuoti.

18. Įstaigos vidaus auditas į savo planus turi įtraukti Įstaigos veiklos funkcijų perdavimo proceso tikrinimą ir daugiausia dėmesio skirti perduotoms svarbioms veiklos funkcijoms. Tikrindamas Įstaigos veiklos funkcijų perdavimo procesą, vidaus auditas turi įsitikinti:

18.1. ar veiklos funkcijų perdavimo procesas, įskaitant Politiką, yra tinkamai ir veiksmingai įgyvendinamas, atitinka įstatymų, kitų teisės aktų reikalavimus, Įstaigos rizikos strategiją ir Įstaigos organo sprendimus;

18.2. ar Įstaiga tinkamai, veiksmingai ir kokybiškai įvertina perduodamos funkcijos svarbą;

18.3. ar Įstaiga tinkamai, veiksmingai ir kokybiškai atlieka su perduodamomis veiklos funkcijomis susijusios rizikos vertinimą, ir tai, ar prisiimama rizika atitinka Įstaigos rizikos strategiją;

18.4. ar Įstaigos organas tinkamai dalyvauja veiklos funkcijų perdavimo procese;

18.5. ar Įstaiga tinkamai vykdo veiklos funkcijų perdavimo paslaugų stebėseną ir valdymą.

19. Įstaiga turi turėti veiklos funkcijų perdavimo sutarčių registrą (toliau – registras).

20. Į registrą turi būti įtrauktos visos veiklos funkcijų perdavimo sutartys, atskiriant svarbių veiklos funkcijų perdavimo sutartis nuo kitų veiklos funkcijų perdavimo sutarčių. Registro duomenys apie pasibaigusias veiklos funkcijų perdavimo sutartis turi būti saugomi 5 metus nuo sutarčių galiojimo pabaigos.

21. Į registrą turi būti įtraukiami šie duomenys:

21.1. veiklos funkcijų perdavimo sutarties registracijos numeris;

21.2. veiklos funkcijų perdavimo sutarties įsigaliojimo data, jei sutartis pratęsiama, – sutarties pratęsimo data, sutarties galiojimo pabaigos data, pranešimo apie sutarties nutraukimą laikotarpiai, taikomi tiek paslaugų teikėjui, tiek Įstaigai;

21.3. perduodamos veiklos funkcijos rūšies pavadinimas (pvz., informacinių technologijų, kontrolės funkcija);

21.4. trumpas perduodamos veiklos funkcijos aprašymas, nurodant paslaugų teikėjui perduodamus duomenis ir informaciją, ar bus perduodami asmens duomenys ir ar paslaugų teikėjas tvarkys asmens duomenis;

21.5. paslaugų teikėjo pavadinimas, juridinio asmens kodas, buveinės adresas, jei yra, patronuojančiosios įstaigos pavadinimas ir kiti svarbūs kontaktiniai duomenys;

21.6. valstybė ar valstybės, kuriose arba iš kurių bus teikiama paslauga, įskaitant duomenų buvimo vietą;

21.7. vertinimas, ar funkcija laikoma svarbia, ir priežasčių, dėl kurių funkcija laikoma svarbia, santrauka;

21.8. debesijos paslauga ir jos modelis, nurodant, ar ji vieša, privati, mišri, ar debesijos paslauga yra bendruomenės lygmeniu teikiama paslauga, saugotinų duomenų pobūdis;

21.9. perduotos veiklos funkcijos svarbos paskutinio vertinimo data.

22. Kai perduodama svarbi veiklos funkcija, į registrą turi būti įtraukti šie papildomi duomenys:

22.1. kitos tai pačiai Įstaigos grupei priklausančios Įstaigos, kurios naudojasi to paties teikėjo paslaugomis;

22.2. informacija, ar paslaugos teikėjas ir (arba) subrangovas priklauso Įstaigos grupei;

22.3. paskutinio rizikos vertinimo data ir pagrindinių rezultatų santrauka;

22.4. asmuo arba Įstaigos organas, priėmęs sprendimą dėl veiklos funkcijų perdavimo;

22.5. veiklos funkcijų perdavimo sutarčiai taikytina teisė;

22.6. jei taikoma, paskutinio audito data;

22.7. subrangovų pavadinimai, registracijos ir veiklos vykdymo valstybės, duomenų saugojimo vieta;

22.8. paslaugos teikėjo pakeičiamumo vertinimas (pakeisti lengva, sunku arba neįmanoma), Įstaigos galimybės pačiai vykdyti svarbią funkciją arba svarbios funkcijos nebevykdymo poveikis;

22.9. alternatyvūs paslaugų teikėjai;

22.10. ar perduodama svarbi funkcija reikalinga tokiai verslo veiklai, kurią būtina įvykdyti laiku.

23. Įstaiga turi sudaryti galimybes Lietuvos bankui gauti registre esančius duomenis ir šiuos duomenis Lietuvos bankui turi pateikti elektroniniu formatu, kurį būtų galima tvarkyti (kopijuoti, rūšiuoti, redaguoti ir pan.). Be to, jeigu Lietuvos bankas reikalauja, Įstaiga turi pateikti visą reikalingą informaciją priežiūros funkcijai vykdyti, įskaitant veiklos funkcijų perdavimo sutarčių kopijas.

IV SKYRIUS

VEIKLOS FUNKCIJOS, KURIOS NEGALI BŪTI PERDUODAMOS, IR VEIKLOS FUNKCIJOS, KURIŲ PERDAVIMAS NĖRA LAIKOMAS VEIKLOS FUNKCIJŲ PERDAVIMU

24. Įstaiga kitiems asmenims negali perduoti Įstaigos organo ir komitetų, jeigu jie Įstaigoje sudaryti, atsakomybės ir pareigų. Įstaigos organas ir komitetai visiškai atsako už šias funkcijas:

24.1. sąlygų, kurias Įstaiga privalo nuolat tenkinti, kad turėtų leidimą vykdyti veiklą, užtikrinimą;

24.2. Įstaigos organizacinės struktūros nustatymą ir veiklos organizavimą;

24.3. interesų konfliktų nustatymą, vertinimą ir valdymą;

24.4. Įstaigos strategijos ir politikos nustatymą;

24.5. kasdienio Įstaigos valdymo priežiūrą, įskaitant su veiklos funkcijų perdavimu susijusių visų rizikos rūšių valdymą;

24.6. stebėtojų tarybos atliekamą priežiūros vaidmenį, įskaitant vadovybės sprendimų priėmimo priežiūrą ir stebėseną.

25. Įstaiga, priimdama sprendimą perduoti vykdyti Įstaigos veiklos funkcijas kitiems asmenims, turi užtikrinti stabilią ir tvarią Įstaigos veiklą, taip pat Įstaiga turi turėti organizacinę struktūrą ir netapti veiklos nevykdančiu subjektu (angl. empty shell).

26. Įstaiga, vertindama, ar konkreti sutartis laikytina veiklos funkcijų perdavimu, turi atsižvelgti, ar funkcija, kurią ketinama perduoti, paprastai yra priskiriama tai Įstaigai būdingoms reguliarioms arba nuolatinėms funkcijoms (net jeigu Įstaiga anksčiau tos funkcijos neatliko). Jeigu sutartis su paslaugos teikėju apima kelias funkcijas, turi būti įvertinti visi šios sutarties aspektai.

27. Veiklos funkcijų perdavimu nelaikomos:

27.1. funkcijos, kurias kitas asmuo turi atlikti pagal teisės aktų reikalavimus (pvz., privalomas auditas);

27.2. rinkos informacijos paslaugos (pvz., „Bloomberg“,‘ „Moody‘s“, „Standard & Poor‘s“, „Fitch“ duomenų teikimas);

27.3. pasaulinio tinklo infrastruktūros paslaugos (pvz., „Visa“, „Mastercard“);

27.4. tarpuskaitos (kliringo) ir atsiskaitymo sutartys tarp tarpuskaitos (kliringo) įstaigų, pagrindinių sandorio šalių ir atsiskaitymo įstaigų ir jų narių;

27.5. pasaulinės finansinių mokėjimų pranešimų infrastruktūros paslaugos;

27.6. korespondentinės bankininkystės paslaugos;

27.7. funkcijos, kurios įprastai nėra būdingos Įstaigos veiklai (pvz., teisinės konsultacijos ir atstovavimas, Įstaigos automobilių priežiūra, viešasis matinimas, kelionių paslaugos, architekto konsultacija, Įstaigos patalpų valymas ir aplinkos priežiūra, medicinos paslaugos, pardavimo automatų paslaugos, kanceliarinės paslaugos, pašto paslaugos, priimamojo, sekretorių, dispečerių paslaugos ir pan.), prekių (pvz., kompiuteriai, baldai, raštinės reikmenys, plastikinės kortelės, kortelių skaitytuvai ir pan.) arba komunalinių paslaugų įsigijimas.

V SKYRIUS

VEIKLOS FUNKCIJŲ PERDAVIMO PROCESAS

28. Įstaiga, prieš sudarydama veiklos funkcijų perdavimo sutartį, turi:

28.1. įvertinti, ar perduodamos veiklos funkcijos priskirtinos prie svarbių funkcijų, kaip nurodyta Taisyklių 29 ir 30 punktuose;

28.2. įvertinti, ar tenkinamos, kai taikoma, Taisyklių 31 ir 32 punktuose nustatytos veiklos funkcijų perdavimo priežiūros sąlygos;

28.3. nustatyti ir įvertinti svarbią visų rūšių riziką, kaip nurodyta Taisyklių 33–35 punktuose;

28.4. atlikti paslaugų teikėjo patikimumo vertinimą pagal Taisyklių 39 punkte nurodytus kriterijus;

28.5. nustatyti ir įvertinti galimus interesų konfliktus.

PIRMASIS SKIRSNIS

SVARBIŲ FUNKCIJŲ NUSTATYMAS

29. Įstaiga visada turi laikyti funkciją svarbia:

29.1. jeigu dėl funkcijos nevykdymo arba netinkamo vykdymo nebūtų užtikrinama galimybė Įstaigai laikytis Įstaigos veiklą reglamentuojančių teisės aktų reikalavimų, jei tai galėtų reikšmingai pakenkti Įstaigos finansiniams rezultatams, Įstaigos teikiamų paslaugų ir veiklos tęstinumui ir patikimumui;

29.2. jeigu perduodamos vidaus kontrolės funkcijos užduotys, išskyrus atvejus, kai atlikus vertinimą nustatoma, kad perduotos funkcijos nesuteikimas arba netinkamas suteikimas nepadarytų neigiamo poveikio vidaus kontrolės funkcijos veiksmingumui;

29.3. jeigu perduodama funkcija, kuriai vykdyti reikalingas priežiūros institucijos leidimas, kiek tai neprieštarauja teisės aktų reikalavimams;

29.4. jeigu perduodama funkcija yra susijusi su pagrindinėmis verslo linijomis ir ypač svarbiomis funkcijomis, kaip tai apibrėžta Lietuvos Respublikos finansinio tvarumo įstatymo 2 straipsnio 10 punkte, išskyrus atvejus, kai Įstaiga, atlikusi vertinimą, nustato, kad perduotos funkcijos nesuteikimas nepadarys neigiamo poveikio pagrindinės verslo linijos ar svarbios funkcijos tęstinumui;

30. Kitais, negu numatyta Taisyklių 29 punkte, atvejais Įstaiga, vertindama, ar perduodamos veiklos funkcijos yra svarbios, turi atsižvelgti į rizikos vertinimo, atlikto vadovaujantis Taisyklių 33–35 punktais, rezultatus ir įvertinti šiuos veiksnius:

30.1. ar veiklos funkcijų perdavimo sutartis yra tiesiogiai susijusi su Įstaigos paslaugų teikimo veikla, kuriai ji turi priežiūros institucijos leidimą;

30.2. jeigu veiklos funkcijų perdavimo paslauga nutrūktų arba paslaugos teikėjai nesugebėtų užtikrinti sutartyje numatyto paslaugų kokybės lygio, Įstaiga turi įvertinti galimą poveikį Įstaigos:

30.2.1. trumpalaikiam ir ilgalaikiam finansiniam atsparumui ir gyvybingumui, įskaitant, jei taikoma, turtą, kapitalą, sąnaudas, finansavimą, likvidumą, pelną ir nuostolius;

30.2.2. veiklos tęstinumui ir atsparumui;

30.2.3. operacinei rizikai, įskaitant elgesio, informacinių ir ryšių technologijų (IRT) ir teisinę riziką;

30.2.4. reputacijos rizikai;

30.2.5. jei taikoma, gaivinimo ir pertvarkymo planavimui ir veiklos tęstinumui ankstyvos intervencijos, gaivinimo arba pertvarkymo būsenoje;

30.3. ar veiklos funkcijų perdavimo sutartis gali turėti poveikį Įstaigos gebėjimui:

30.3.1. nustatyti, stebėti ir valdyti riziką;

30.3.2. laikytis teisės aktų reikalavimų;

30.3.3. atlikti veiklos funkcijų perdavimo paslaugų auditą;

30.4. ar veiklos funkcijų perdavimas gali turėti poveikį klientams teikiamoms paslaugoms;

30.5. visas veiklos funkcijų perdavimo sutartis, Įstaigos bendrą poziciją to paties paslaugos teikėjo atžvilgiu ir galimą bendrą poveikį dėl veiklos funkcijų perdavimo koncentracijos toje pačioje verslo srityje;

30.6. kiekvienos verslo srities, kurios veiklos funkcijos yra perduodamos, apimtį ir sudėtingumą;

30.7. galimybę, jei reikia, perleisti perduotų veiklos funkcijų vykdymą kitam paslaugų teikėjui,

30.8. galimybę Įstaigai, jei reikia, pačiai vykdyti perduotą veiklos funkciją.

ANTRASIS SKIRSNIS

VEIKLOS FUNKCIJŲ PERDAVIMO PRIEŽIŪROS SĄLYGOS

31. Įstaiga turi užtikrinti, kad veiklos funkcijos, kai joms vykdyti reikalingas Lietuvos banko leidimas ir tai neprieštarauja teisės aktų reikalavimams, būtų perduodamos Lietuvos Respublikoje arba EEE įsteigtam paslaugų teikėjui tik tada, jeigu paslaugų teikėjas turi Lietuvos banko arba EEE valstybės narės priežiūros institucijos leidimą vykdyti tokią veiklą arba teikti paslaugas.

32. Įstaiga turi užtikrinti, kad veiklos funkcijos, kai joms vykdyti reikalingas Lietuvos banko leidimas ir tai neprieštarauja teisės aktų reikalavimams, būtų perduodamos ne EEE įsteigtam paslaugų teikėjui tik esant šioms sąlygoms:

32.1. paslaugų teikėjas turi leidimą vykdyti tokią veiklą arba teikti paslaugą ne EEE ir jo priežiūrą atlieka ne EEE valstybės priežiūros institucija;

32.2. yra sudarytas Lietuvos banko ir paslaugų teikėjo priežiūros institucijos bendradarbiavimo susitarimas (pvz., susitarimo memorandumas, kolegijos susitarimas).

TREČIASIS SKIRSNIS

RIZIKOS VERTINIMAS

33. Įstaiga, prieš sudarydama veiklos funkcijų perdavimo sutartį, turi įvertinti galimą veiklos funkcijų perdavimo poveikį Įstaigos operacinei rizikai, atsižvelgti į šio poveikio vertinimo rezultatus, nuspręsti, ar sudaryti veiklos funkcijų perdavimo sutartį, ir imtis reikiamų veiksmų, kad būtų išvengta nepagrįstos papildomos operacinės rizikos.

34. Vertindama riziką, Įstaiga taiko kiekybinius ir (arba) kokybinius rizikos vertinimo metodus. Rizikos vertinimas turi apimti galimų rizikų scenarijus, įskaitant didelio poveikio operacinės rizikos įvykius. Atlikdama analizę pagal scenarijus, Įstaiga turi įvertinti galimą paslaugų neteikimo arba netinkamo teikimo poveikį, apimantį procesų, sistemų, žmogaus įtakos ar išorės įvykius. Rizikos vertinimas ir jo rezultatai turi būti dokumentuoti.

35. Atlikdama rizikos vertinimą, Įstaiga turi atsižvelgti į tikėtiną veiklos funkcijų perdavimo sutarties naudą ir sąnaudas, visapusiškai įvertinti tiek riziką, kurią bus galima sumažinti arba geriau valdyti sudarius veiklos funkcijų perdavimo sutartį, tiek riziką, kuri gali kilti sudarius veiklos funkcijų perdavimo sutartį.

36. Atlikdama rizikos vertinimą, Įstaiga turi įvertinti:

36.1. koncentracijos riziką (pvz., ar paslaugos užsakomos iš dominuojančią padėtį užimančio paslaugų teikėjo, kurio negalima lengvai pakeisti; ar su tuo pačiu paslaugų teikėju ar su juo glaudžiai susijusiais paslaugų teikėjais sudaromos kelios ar dauguma veiklos funkcijų perdavimo sutarčių);

36.2. bendrą riziką, kylančią dėl Įstaigos perduodamų keleto veiklos funkcijų vykdymo paslaugų, o Įstaigų grupių atveju – bendrą riziką, vertinamą konsoliduotai;

36.3. riziką, kuri gali kilti dėl galimo poreikio sunkumų patiriančiam paslaugų teikėjui teikti finansinę paramą arba, taikant pertvarkymo priemones, perimti jo veiklos operacijas;

36.4. Įstaigos ir paslaugų teikėjo įgyvendinamas rizikos mažinimo priemones.

37. Jeigu veiklos funkcijų perdavimo sutartyje numatyta galimybė paslaugos teikėjams subrangos būdu pavesti svarbių funkcijų vykdymą kitiems paslaugų teikėjams, Įstaiga turi įvertinti:

37.1. su subrangos būdu perduodamų veiklos funkcijų perdavimu sietiną riziką, įskaitant papildomą riziką, kuri gali kilti, jeigu subrangovas yra įsisteigęs ne EEE arba kitoje valstybėje nei paslaugų teikėjas;

37.2. riziką, kad dėl ilgų ir sudėtingų subrangos būdu perduodamų veiklos funkcijų teikimo grandinių gali sumažėti Įstaigos galimybė vykdyti svarbios perduodamos veiklos funkcijos vykdymo stebėjimą ir kontrolę bei kompetentingų institucijų galimybė veiksmingai ją prižiūrėti.

38. Tiek atlikdama rizikos vertinimą prieš sudarant veiklos funkcijų perdavimo sutartis, tiek vykdydama nuolatinę svarbių funkcijų teikėjo veiklos rezultatų stebėseną, Įstaiga turi:

38.1. įvertinti su perduodamomis veiklos funkcijomis susijusių duomenų ir sistemų jautrumą ir reikalingas apsaugos priemones, atlikti išsamią rizika grindžiamą tų duomenų ir sistemų analizę ir įvertinti galimą riziką ir priežiūros apribojimus, susijusius su valstybėmis, kuriose arba iš kurių gali būti teikiamos perduodamos veiklos funkcijos ir kuriose bus laikomi duomenys;

38.2. atsižvelgti į galimas paslaugų teikėjo buvimo vietos (EEE arba ne EEE) pasekmes;

38.3. atsižvelgti į paslaugų teikėjo buvimo vietos politinį stabilumą ir saugumą, įskaitant įstatymuose nustatytus reikalavimus, paslaugų teikėjo nemokumą reglamentuojančius teisės aktus ir visus apribojimus, kurių atsirastų bandant skubiai atgauti Įstaigos duomenis;

38.4. nustatyti tinkamą duomenų konfidencialumo apsaugos, su veiklos funkcijų perdavimo paslaugomis susijusios veiklos tęstinumo, duomenų ir sistemų vientisumo ir atsekamumo lygį ir priimti su tuo susijusius sprendimus. Įstaiga turi numatyti konkrečias priemones, susijusias su perduodamais duomenimis, laikmenose laikomais duomenimis ir nenaudojamais duomenimis (šifravimo technologijos, kartu su tinkama pagrindine valdymo architektūra);

38.5. atsižvelgti į tai, ar paslaugų teikėjas yra Įstaigos patronuojamoji ar patronuojančioji įmonė, ar paslaugų teikėjui taikomas konsolidavimas apskaitos tikslais, ir, jei taip, įvertinti, kiek Įstaiga jį kontroliuoja arba gali daryti įtaką jo veiksmams.

KETVIRTASIS SKIRSNIS

PASLAUGŲ TEIKĖJO TINKAMUMO VERTINIMAS

39. Įstaiga, prieš sudarydama veiklos funkcijų perdavimo sutartį, turi įvertinti paslaugų teikėjo tinkamumą. Vertindama paslaugos teikėją, Įstaiga turi atsižvelgti į paslaugų teikėjo:

39.1. patikimumą;

39.2. verslo reputaciją;

39.3. patirtį, kvalifikaciją ir gebėjimus;

39.4. pajėgumą ir išteklius paslaugoms teikti (IT, finansinius, žmogiškuosius);

39.5. organizacinę struktūrą;

39.6. jei taikoma, leidimo vykdyti perduodamas funkcijas visu veiklos funkcijų perdavimo sutarties galiojimo laikotarpiu turėjimą;

39.7. veiklos modelį, mastą ir sudėtingumą;

39.8. finansinę padėtį;

39.9. priklausymą Įstaigos grupei;

39.10. galimybes prisiimti ilgalaikius sutartinius įsipareigojimus;

39.11. galimybes užtikrinti duomenų ir informacijos apsaugą;

39.12. kitus svarbius kriterijus.

VI SKYRIUS

VEIKLOS FUNKCIJŲ PERDAVIMO SUTARČIAI TAIKOMI REIKALAVIMAI

40. Įstaigos ir paslaugų teikėjo teisės ir pareigos turi būti nustatytos rašytinėje sutartyje.

41. Svarbių veiklos funkcijų perdavimo sutartyje turi būti numatyta:

41.1. numatomos perduoti funkcijos aprašymas;

41.2. sutarties įsigaliojimo ir pabaigos (jei sudaroma terminuota sutartis) datos, paslaugų teikėjui ir Įstaigai taikomi pranešimų terminai ir laikotarpiai;

41.3. sutarčiai taikoma teisė;

41.4. sutarties šalių finansiniai įsipareigojimai;

41.5. valstybė, kurioje arba iš kurios bus vykdoma svarbi funkcija ir (arba) kurioje bus laikomi svarbūs duomenys, įskaitant galimą duomenų saugojimo vietą ir šių duomenų saugojimo sąlygas, kurios turi būti įvykdytos, taip pat reikalavimą pranešti Įstaigai, jeigu paslaugų teikėjas pasiūlytų pakeisti duomenų saugojimo vietą;

41.6. jei taikoma, svarbių duomenų prieinamumo, saugojimo vietos, vientisumo, privatumo ir apsaugos nuostatos;

41.7. Įstaigos teisė nuolat vykdyti paslaugos teikėjo veiklos rezultatų stebėseną;

41.8. sutarti paslaugų lygiai, kuriems turi būti nustatytos tikslios kiekybinės ir kokybinės perduotos funkcijos veiklos rezultatų reikšmės, kad Įstaiga galėtų laiku vykdyti perduotos veiklos funkcijos stebėseną ir nedelsiant imtis reikalingų veiksmų, jeigu sutarti paslaugų lygiai nebūtų pasiekti;

41.9. paslaugų teikėjo pareiga teikti Įstaigai ataskaitas ir informaciją, reikalingą veiklos funkcijų perdavimo sutarčių, ypač svarbių veiklos funkcijų perdavimo sutarčių stebėsenai ir kontrolei vykdyti, įskaitant paslaugų teikėjo pranešimus apie visus pakeitimus, kurie gali padaryti didelį poveikį paslaugų teikėjo gebėjimui veiksmingai vykdyti svarbią funkciją sutartu paslaugų lygiu ir laikantis teisės aktų reikalavimų ir Įstaigos prašymu teikti paslaugų teikėjo vidaus audito ataskaitas;

41.10. jei taikoma, reikalavimas paslaugų teikėjui turėti tam tikrų rūšių rizikos draudimą ir prašomos draudimo apsaugos lygis;

41.11. veiklos tęstinumo planų įgyvendinimo ir testavimo reikalavimai;

41.12. nuostatos, kuriomis užtikrinama, kad Įstaigos duomenys būtų prieinami Įstaigai paslaugų teikėjo nemokumo, pertvarkymo ar veiklos nutraukimo atvejais;

41.13. paslaugų teikėjo pareiga bendradarbiauti su Įstaigos priežiūros ir pertvarkymo institucijomis, įskaitant kitus šių institucijų paskirtus asmenis;

41.14. jei taikoma, nuostatos, užtikrinančios teisės aktuose nustatytus pertvarkymo institucijos įgaliojimus;

41.15. Įstaigos ir priežiūros institucijos teisė atlikti paslaugų teikėjo patikrinimus ir auditą, kiek tai susiję su perduotų veiklos funkcijų vykdymu;

41.16. sutarties nutraukimo sąlygos.

PIRMASIS SKIRSNIS

SVARBIŲ VEIKLOS FUNKCIJŲ PERDAVIMAS SUBRANGOS BŪDU

42. Jeigu svarbių veiklos funkcijų perdavimą subrangos būdu Įstaiga leidžia, rašytinėje sutartyje turi būti:

42.1. nuostata dėl galimybės perleisti svarbios funkcijos vykdymą subrangos pagrindu ir subrangos būdu perleidžiamoms paslaugoms taikomos sąlygos;

42.2. nurodyta visų rūšių veikla, kurios negalima perduoti subrangos būdu;

42.3. nustatyta Įstaigos teisė gauti informaciją iš subrangovo;

42.4. nustatyta paslaugos teikėjo pareiga vykdyti subrangos būdu perduodamų paslaugų teikimo priežiūrą užtikrinant, kad būtų nuolat vykdomi visi paslaugų teikėjo sutartiniai įsipareigojimai;

42.5. įtvirtintas reikalavimas, kad, prieš perduodamas duomenis subrangos būdu, paslaugos teikėjas iš anksto gautų Įstaigos sutikimą;

42.6. įtvirtinta paslaugos teikėjo pareiga pranešti Įstaigai apie visus atvejus, kai numatoma perduoti paslaugas subrangos būdu, arba su subranga susijusius reikšmingus pakeitimus, kai tai gali padaryti poveikį paslaugos teikėjo gebėjimui vykdyti savo pareigas pagal veiklos funkcijų perdavimo sutartį. Tai apima numatomus, su subrangovu susijusius pokyčius ir pranešimo laikotarpį, per kurį įstaiga galėtų įvertinti siūlomų pakeitimų riziką ir pareikšti prieštaravimą dėl pakeitimų prieš įsigaliojant numatomam perdavimui subrangos būdu arba prieš įgyvendinant su subranga susijusius svarbius pokyčius;

42.7. įtvirtinta Įstaigos teisė pareikšti prieštaravimą dėl numatomo veiklos funkcijų perdavimo subrangos būdu ar su subranga susijusių svarbių pakeitimų, arba numatytas aiškus Įstaigos pritarimo numatomam veiklos funkcijų perdavimui subrangos būdu reikalavimas;

42.8. įtvirtinta Įstaigos teisė nutraukti sutartį, jeigu veiklos funkcijų perdavimo paslaugos perduodamos subrangos būdu nesilaikant sutartyje nustatytų sąlygų.

43. Įstaiga leidžia perduoti veiklos funkcijas subrangos būdu tik tada, jeigu subrangovas įsipareigoja laikytis visų teisės aktų reikalavimų ir sutartinių įsipareigojimų bei suteikti Įstaigai ir priežiūros institucijai tokias pat prieigos ir audito teises, kokias suteikia paslaugos teikėjas.

44. Įstaiga turi užtikrinti, kad paslaugos teikėjas tinkamai vykdytų subrangovų priežiūrą vadovaudamasis Įstaigos parengta Politika. Jeigu siūlomas veiklos funkcijų perdavimas subrangos būdu galėtų padaryti didelį neigiamą poveikį perduotų svarbių veiklos funkcijų vykdymui arba padidėtų rizika, įskaitant atvejus, kai nesilaikoma Taisyklių 43 punkte nustatytų sąlygų, Įstaiga turi pasinaudoti teise pareikšti prieštaravimą dėl perdavimo subrangos būdu, jeigu dėl tokios teisės buvo susitarta, ir (arba) nutraukti sutartį.

ANTRASIS SKIRSNIS

INFORMACINIŲ TECHNOLOGIJŲ SAUGUMO STANDARTAI IR NESKELBTINOS INFORMACIJOS APSAUGA

45. Įstaiga turi užtikrinti, kad reikiamais atvejais paslaugos teikėjas laikytųsi informacinių technologijų saugumo standartų.

46. Įstaiga veiklos funkcijų perdavimo sutartyje turi nustatyti duomenų ir sistemų saugumo reikalavimus ir nuolat stebėti, kaip jų laikomasi.

47. Kai tvarkomi arba perduodami asmens ar konfidencialūs duomenys, Įstaiga veiklos funkcijų perdavimo sutartyje turi nustatyti asmens duomenų saugojimo ir duomenų tvarkymo vietos (valstybės ar regiono) reikalavimus.

48. Įstaiga turi užtikrinti, kad veiklos funkcijų perdavimo sutartyje būtų įtvirtintas paslaugos teikėjo įpareigojimas užtikrinti konfidencialios informacijos, asmens duomenų ar kitos neskelbtinos informacijos apsaugą ir laikytis visų Įstaigai taikomų teisės aktų reikalavimų dėl duomenų ir informacijos apsaugos.

TREČIASIS SKIRSNIS

PRIEŽIŪROS IR PERTVARKYMO INSTITUCIJŲ TEISĖS

49. Visose veiklos funkcijų perdavimo sutartyse turi būti numatytos priežiūros ir pertvarkymo institucijų teisės gauti reikalingą informaciją priežiūros ir pertvarkymo funkcijoms vykdyti.

50. Svarbių veiklos funkcijų perdavimo sutartyje turi būti nustatytos Įstaigos, priežiūros ir pertvarkymo institucijų bei kitų Įstaigos, priežiūros ir pertvarkymo institucijų paskirtų asmenų teisės:

50.1. galimybė patekti į patalpas, įskaitant galimybę susipažinti su visa svarbia įranga, sistemomis, tinklais, informacija ir duomenimis, naudojamais teikiant perduotos veiklos funkcijos paslaugą, taip pat galimybę susipažinti su susijusia finansine informacija, gauti informaciją iš darbuotojų ir paslaugos teikėjo išorės auditorių;

50.2. neribotos teisės atlikti patikrinimus ir auditą, susijusį su veiklos funkcijų perdavimu, teisė vykdyti perduodamų veiklos funkcijų stebėseną, kad būtų užtikrintas visų taikytinuose teisės aktuose nustatytų reikalavimų laikymasis.

KETVIRTASIS SKIRSNIS

VEIKLOS FUNKCIJOS PERDAVIMO AUDITAS

51. Svarbių veiklos funkcijų perdavimo sutartyje turi būti užtikrinta Įstaigos vidaus audito teisė atlikti veiklos funkcijos perdavimo paslaugos auditą.

52. Prie svarbių veiklos funkcijų nepriskiriamų kitų veiklos funkcijų perdavimo atveju Įstaiga turi užsitikrinti prieigos ir audito teises taikant rizika pagrįstą metodą, atsižvelgdama į perduodamos veiklos funkcijos pobūdį ir susijusią operacinę ir reputacijos riziką, mastą, galimą poveikį veiklos tęstinumui ir sutarties galiojimo laikotarpį. Įstaiga turi atsižvelgti į tai, ar funkcija gali vėliau tapti svarbia.

53. Įstaiga turi naudotis savo prieigos ir audito teisėmis, nustatyti audito dažnį ir audituotinas sritis, taikydama rizika pagrįstą metodą, ir laikytis visuotinai pripažįstamų nacionalinių ir tarptautinių audito standartų.

54. Nepažeisdama principo, pagal kurį Įstaigai tenka galutinė atsakomybė už veiklos funkcijų perdavimo sutartis, Įstaiga gali pasirinkti vieną iš šių audito būdų:

54.1. atlikti auditą pati;

54.2. kartu su kitais to paties paslaugų teikėjo klientais organizuoti bendrąjį auditą, kurį gali atlikti patys paslaugų teikėjo klientai arba jų paskirti asmenys;

54.3. vadovautis paslaugų teikėjo pateiktais trečiosios šalies suteiktais sertifikatais ir išorės arba vidaus audito ataskaitomis.

55. Perduodama svarbias veiklos funkcijas, Įstaiga turi įvertinti, ar trečiosios šalies teikiami sertifikatai bei išorės ir vidaus audito ataskaitos yra tinkamos ir pakankamos.

56. Svarbių funkcijų vykdymo perdavimo atveju Įstaiga turi naudotis Taisyklių 54.3 papunktyje nurodytu būdu tik tada, jeigu ji:

56.1. pritaria veiklos funkcijų perdavimo paslaugos teikėjo audito planui;

56.2. įsitikina, kad sertifikatas arba audito ataskaitos apima sistemas (procesus, taikomąsias programas, infrastruktūrą, duomenų centrus ir pan.), Įstaigos nustatytas pagrindines kontrolės priemones ir užtikrina teisės aktuose nustatytų reikalavimų laikymąsi;

56.3. nuolat išsamiai vertina sertifikatų arba audito ataskaitų turinį ir tikrina, kad ataskaitos nebūtų praradusios aktualumo, sertifikatai būtų laiku atnaujinami;

56.4. įsitikina, kad pagrindinės sistemos ir kontrolės priemonės yra įtrauktos į kitas sertifikato arba audito ataskaitos redakcijas;

56.5. įsitikina, kad sertifikatą suteikianti arba auditą atliekanti trečioji šalis yra tinkama, patikima, turinti tinkamos patirties ir kvalifikaciją, ir kt.;

56.6. įsitikina, kad sertifikatai išduodami ir auditas atliekamas taikant atitinkamus visuotinai pripažįstamus profesinius standartus ir apima įdiegtų pagrindinių kontrolės priemonių operacinio veiksmingumo patikrinimą;

56.7. turi veiklos funkcijų perdavimo sutartyje įtvirtintą teisę prašyti išplėsti sertifikavimo arba auditų apimtį, kad būtų įtraukiamos kitos svarbios sistemos ir kontrolės priemonės; tokių prašymų skaičius ir dažnis turi būti nuosaikus ir rizikos valdymo požiūriu pagrįstas;

56.8. turi sutartyje įtvirtintą teisę savo nuožiūra atlikti pavienius svarbių veiklos funkcijų perdavimo paslaugų teikimo auditus.

57. Svarbių funkcijų perdavimo sutarčių atvejais, jei taikoma, Įstaiga turi užsitikrinti teisę ir galimybę atlikti saugumo įsiskverbimo testavimus ir įvertinti įdiegtų kibernetinių bei vidaus informacinių ir ryšių technologijų (IRT) saugumo priemonių ir procesų veiksmingumą.

58. Atliekant bendruosius auditus, kai tikrinama paslauga teikiama keliems ar daugeliui to paties paslaugų teikėjo klientų, Įstaiga turi užtikrinti, kad nebus pažeista kitų klientų duomenų apsauga ir informacijos konfidencialumas, nebus neigiamai paveikta paslaugų kitiems klientams kokybė, paslaugų prieinamumas arba nebus sukelta kitokio pobūdžio rizika kitiems to paties paslaugų teikėjo klientams.

59. Jeigu perduotos veiklos funkcijos techniniu požiūriu sudėtingos, Įstaiga turi užtikrinti, kad vidaus arba išorės auditą atliekantys asmenys turėtų atitinkamų įgūdžių ir žinių, kad galėtų veiksmingai atlikti auditą ir (arba) vertinimą. Atitinkamų įgūdžių ir žinių turi turėti ir Įstaigos darbuotojai, vertinantys trečiosios šalies paslaugos teikėjui suteiktus sertifikatus arba paslaugų teikėjo atliktus auditus.

PENKTASIS SKIRSNIS

VEIKLOS FUNKCIJŲ PERDAVIMO SUTARTIES NUTRAUKIMAS

60. Svarbių funkcijų perdavimo sutartyse, be kita ko, turi būti numatyta teisė nutraukti sutartį:

60.1. kai paslaugos teikėjas pažeidžia teisės aktų reikalavimus arba sutarties nuostatas;

60.2. kai nustatomos kliūtys, dėl kurių gali nutrūkti arba pablogėti perduotos veiklos funkcijos teikimas;

60.3. kai įvyksta pokyčiai, kurie reikšmingai keičia veiklos funkcijų perdavimo procesą arba turi reikšmingą įtaką paslaugos teikėjui;

60.4. kai nustatomi reikšmingi trūkumai, susiję su konfidencialios informacijos, asmens duomenų arba kitos viešai neskelbiamos informacijos valdymu ir saugumu;

60.5. kai to reikalauja Įstaigos priežiūros institucija.

61. Sutarties nutraukimo atveju turi būti nustatyta veiklos funkcijos vykdymo paslaugos perdavimo kitam paslaugų teikėjui arba jos reintegravimo į Įstaigą tvarka. Svarbių funkcijų perdavimo sutartyse turi būti numatyta:

61.1. paslaugų teikėjo prievolės, jeigu veiklos funkcijos vykdymas būtų perduodamas kitam paslaugų teikėjui arba pačiai Įstaigai;

61.2. tinkamas ir pakankamas pereinamasis laikotarpis, per kurį, nutraukus veiklos funkcijų perdavimo sutartį, paslaugų teikėjas ir toliau teiktų perduotos veiklos funkcijos vykdymo paslaugą;

61.3. paslaugų teikėjo prievolė padėti Įstaigai tvarkingai, užtikrinant veiklos tęstinumą, perduoti funkciją kitam paslaugų teikėjui arba pačiai Įstaigai.

VII SKYRIUS

PERDUOTŲ VEIKLOS FUNKCIJŲ VYKDYMO STEBĖSENA IR KONTROLĖ

62. Įstaiga, taikydama rizika pagrįstą metodą, turi nuolat stebėti paslaugų teikėjų teikiamų paslaugų lygį ir kokybę. Pagrindinis dėmesys turi būti skiriamas svarbių funkcijų vykdymo paslaugų prieinamumo, vientisumo, duomenų ir informacijos saugumo užtikrinimui. Jeigu iš esmės pasikeičia perduotos veiklos funkcijos pobūdis, mastas arba su perduotomis veiklos funkcijomis susijusi rizika, Įstaiga turi iš naujo įvertinti tos funkcijos svarbą.

63. Įstaiga reguliariai turi atnaujinti veiklos funkcijų perdavimo sutarčių ir paslaugos teikėjų rizikos vertinimą ir periodiškai teikti Įstaigos organui nustatytos su perduotų svarbių veiklos funkcijų vykdymu susijusios rizikos ataskaitas.

64. Įstaiga turi stebėti ir valdyti vidaus koncentracijos riziką, kylančią dėl veiklos funkcijų perdavimo.

65. Įstaiga turi užtikrinti nuolatinę veiklos funkcijų perdavimo sutarčių, ypač svarbių funkcijų vykdymo paslaugų sutarčių, stebėseną ir kontrolę, vadovaudamasi Įstaigos Politikoje nustatytais reikalavimais:

65.1. užtikrinti, kad Įstaiga gautų tinkamas paslaugų teikėjų ataskaitas;

65.2. vertinti paslaugos teikėjų teikiamų paslaugų kokybę, naudodama pagrindinius veiklos, kontrolės ir rizikos rodiklius, paslaugų kokybės ataskaitas, vidaus ir išorės vertinimus;

65.3. peržiūrėti kitą iš paslaugos teikėjų gaunamą svarbią informaciją, tarp jų veiklos tęstinumo priemonių ir testavimo ataskaitas.

66. Radusi perduotos veiklos funkcijos vykdymo trūkumų, Įstaiga turi imtis atitinkamų priemonių, įskaitant, jei reikia, ir sutarties nutraukimą.

VIII SKYRIUS

PASITRAUKIMO STRATEGIJA DĖL PERDUODAMŲ SVARBIŲ VEIKLOS FUNKCIJŲ

67. Įstaiga, rengdama Politikoje numatytą pasitraukimo strategiją dėl perduodamų svarbių veiklos funkcijų, turi:

67.1. nustatyti pasitraukimo strategijos tikslus;

67.2. parengti poveikio verslui analizę, atitinkančią veiklos funkcijų perdavimo procesų, paslaugų arba veiklos riziką, kad būtų galima nustatyti, kokių žmogiškųjų ir finansinių išteklių ir kiek laiko reikėtų pasitraukimo planui įgyvendinti;

67.3. nustatyti funkcijas ir pareigas ir skirti pakankamai išteklių, reikalingų pasitraukimo planams ir veiklos funkcijų perėmimui įgyvendinti ir valdyti;

67.4. nustatyti sėkmingo perduotų veiklos funkcijų duomenų perdavimo (perėmimo) kriterijus;

67.5. nustatyti perduotų veiklos funkcijų kokybės lygio stebėsenos rodiklius, nustatant ir Įstaigai nepriimtiną perduotų veiklos funkcijų kokybės lygį, kuris galėtų lemti sutarties nutraukimą;

67.6. įvertinti veiklos funkcijų perdavimo sutarties nutraukimo, paslaugos teikėjo žlugimo dėl perduotos funkcijos kokybės pablogėjimo arba galimo veiklos nutrūkimo dėl netinkamo funkcijos vykdymo arba jos nevykdymo ir rizikos, keliančios grėsmę tinkamam ir nepertraukiamam funkcijos vykdymui, galimybes.

68. Įstaiga turi užtikrinti, kad gali nutraukti veiklos funkcijų perdavimo sutartis, nepagrįstai nesutrikdydama Įstaigos veiklos, neapribodama teisės aktuose nustatytų reikalavimų laikymosi ir nedarydama neigiamo poveikio paslaugų klientams teikimo tęstinumui ir kokybei, todėl Įstaiga turi:

68.1. planuose numatyti reikalingus išteklius ir laiką, poveikį, apskaičiuoti galimas išlaidas, įvertinti, kiek užtruktų paslaugų perdavimas alternatyviam paslaugų teikėjui;

68.2. nustatyti alternatyvius sprendimus ir parengti pereinamojo laikotarpio planus, kad Įstaiga galėtų sklandžiai perimti perduotas veiklos funkcijas ir duomenis iš paslaugų teikėjo ir perduoti alternatyviems paslaugų teikėjams arba pati galėtų vykdyti perimtas funkcijas, arba imtis kitų priemonių, kurios užtikrintų nepertraukiamą svarbios funkcijos arba Įstaigos veiklos vykdymą ir duomenų saugumą.

IX SKYRIUS

INFORMACIJOS APIE SVARBIŲ VEIKLOS FUNKCIJŲ PERDAVIMO SUTARTIS PATEIKIMAS LIETUVOS BANKUI IR PATEIKTOS INFORMACIJOS VERTINIMAS

69. Įstaiga, išskyrus Lietuvos Respublikoje įsteigtą banką ir Lietuvos Respublikoje įsteigtą užsienio valstybės banko, licencijuoto ne Europos Sąjungos valstybėse narėse, filialą, likus ne mažiau kaip 30 dienų iki svarbių veiklos funkcijų perdavimo sutarties sudarymo dienos, o Lietuvos Respublikoje įsteigtas bankas ar Lietuvos Respublikoje įsteigtas užsienio valstybės banko, licencijuoto ne Europos Sąjungos valstybėse narėse, filialas, likus ne mažiau kaip 60 dienų iki svarbių veiklos funkcijų perdavimo sutarties sudarymo dienos, privalo apie tokią sutartį raštu pranešti Lietuvos bankui ir pateikti:

Punkto pakeitimai:

Nr. 03-132, 2022-09-20, paskelbta TAR 2022-09-22, i. k. 2022-19317

69.1. Pranešimą apie svarbių veiklos funkcijų perdavimo sutarties sudarymą, pateiktą Taisyklių priede;

69.2. veiklos funkcijų perdavimo sutarties projektą.

70. Jeigu Įstaigos pateiktos informacijos nepakanka, kad būtų galima įvertinti Įstaigos prisiimamos rizikos mastą, Lietuvos bankas gali reikalauti, kad Įstaiga pateiktų papildomą informaciją.

71. Taisyklių 69 punkte nustatyti reikalavimai taikomi ir tada, kai numatoma reikšmingai pakeisti anksčiau sudarytos svarbių veiklos funkcijų perdavimo sutarties su tuo pačiu paslaugų teikėju sąlygas (pvz., numatoma išplėsti perkamų paslaugų mastą) arba šias paslaugas pradėti pirkti iš kito paslaugų teikėjo.

72. Lietuvos bankas per 1 mėnesį nuo Taisyklių 69 punkte nurodytų dokumentų gavimo dienos, o jei reikalaujama pateikti papildomą informaciją, – per 1 mėnesį nuo papildomos informacijos gavimo dienos įvertina Įstaigos sprendimą perduoti svarbias veiklos funkcijas.

73. Vadovaudamasis Įstaigos pateikta informacija, atsižvelgdamas į numatomų perduoti veiklos funkcijų pobūdį ir kompleksiškumą, paslaugų teikėjo patirtį, užimamą padėtį rinkoje ir kt., Lietuvos bankas vertina, kaip ketinama sudaryti veiklos funkcijų perdavimo sutartis atitinka Taisyklėse nustatytus reikalavimus, ar numatomas veiklos funkcijų perdavimas galėtų neigiamai paveikti Įstaigos vidaus kontrolę, rizikos valdymo sistemą ir Lietuvos banko galimybes vykdyti Įstaigos priežiūrą.

74. Jei nustatoma, kad ketinama sudaryti veiklos funkcijų perdavimo sutartis neatitinka Taisyklių, arba yra kitas teisės aktuose nustatytas pagrindas, Lietuvos bankas, vadovaudamasis Taisyklių 2 punkte nurodytų finansų rinkos dalyvių veiklą reglamentuojančiais įstatymais, gali nurodyti Įstaigai nesudaryti svarbių veiklos funkcijų perdavimo sutarties, pašalinti teisės aktų pažeidimus, sumažinti sutarties mastą arba atlikti kitus veiksmus (pvz., sudarant sutartį atsižvelgti į Lietuvos banko nustatytas papildomas sąlygas; numatyti alternatyvias rizikos mažinimo priemones ir kt.).

75. Jei Lietuvos bankas per Taisyklių 72 punkte nurodytą terminą neinformuoja Įstaigos apie ketinimą svarstyti klausimą dėl Taisyklių 74 punkte nurodytų privalomų nurodymų davimo, Įstaiga gali laikyti, kad Lietuvos bankas neprieštarauja Įstaigos sprendimui perduoti svarbias veiklos funkcijas.

________________________

Bendra informacija apie svarbių veiklos funkcijų perdavimą
1.	Numatomų perduoti svarbių veiklos funkcijų apibūdinimas (paslaugų pobūdis ir mastas)
1.	[Tekstas]
2.	Sprendimo perduoti svarbias veiklos funkcijas pagrindimas (nurodyti, kokios naudos tikisi Įstaiga, priimdama sprendimą dėl veiklos funkcijų perdavimo)
2.	[Tekstas]
3.	Paslaugų teikėjo, su kuriuo ketinama sudaryti svarbių veiklos funkcijų perdavimo sutartį, apibūdinimas (pavadinimas, buveinės adresas, kodas, veiklos pobūdis, patirtis, užimama padėtis rinkoje)
3.	[Tekstas]
4.	Informacija, kaip perduodamos svarbios veiklos funkcijos įtraukiamos į Įstaigos vidaus kontrolę ir rizikos valdymo sistemą
4.	[Tekstas]
	Informacija apie sutarties projekto atitiktį Taisyklėse nustatytiems reikalavimams
Taisyklių papunktis	Svarbios veiklos funkcijos perdavimo sutarčiai nustatytas reikalavimas	Reikalavimą įgyvendinantis sutarties punktas
41.1.	Numatomos perduoti funkcijos aprašymas
41.2.	Sutarties įsigaliojimo ir pabaigos (jei sudaroma terminuota sutartis) datos, paslaugų teikėjui ir Įstaigai taikomi pranešimų terminai ir laikotarpiai
41.3.	Sutarčiai taikoma teisė
41.4.	Sutarties šalių finansiniai įsipareigojimai
41.5.	Valstybė, kurioje arba iš kurios bus vykdoma svarbi funkcija ir (arba) kurioje bus laikomi svarbūs duomenys, įskaitant galimą duomenų saugojimo vietą ir šių duomenų saugojimo sąlygas, kurios turi būti įvykdytos, taip pat reikalavimą pranešti Įstaigai, jeigu paslaugų teikėjas pasiūlytų pakeisti duomenų saugojimo vietą
41.6.	Jei taikoma, nuostatos dėl svarbių duomenų prieinamumo, saugojimo vietos, vientisumo, privatumo ir apsaugos
41.7.	Įstaigos teisė nuolat vykdyti paslaugos teikėjo veiklos rezultatų stebėseną
41.8	Sutarti paslaugų lygiai, kuriems turi būti nustatytos tikslios kiekybinės ir kokybinės perduotos funkcijos veiklos rezultatų reikšmės, kad Įstaiga galėtų laiku vykdyti perduotos veiklos funkcijos stebėseną ir nedelsdama imtis reikalingų veiksmų, jeigu sutarti paslaugų lygiai nebūtų pasiekti
41.9.	Paslaugų teikėjo pareiga teikti Įstaigai ataskaitas ir informaciją, reikalingą veiklos funkcijų perdavimo sutarčių, ypač svarbių veiklos funkcijų perdavimo sutarčių, stebėsenai ir kontrolei vykdyti, įskaitant paslaugų teikėjo pranešimus apie visus pakeitimus, kurie gali padaryti didelį poveikį paslaugų teikėjo gebėjimui veiksmingai vykdyti svarbią funkciją sutartu paslaugų lygiu ir laikantis teisės aktų reikalavimų ir Įstaigos prašymu teikti paslaugų teikėjo vidaus audito ataskaitas
41.10.	Jei taikoma, reikalavimas paslaugų teikėjui turėti tam tikrų rūšių rizikos draudimą ir prašomos draudimo apsaugos lygis
41.11.	Veiklos tęstinumo planų įgyvendinimo ir testavimo reikalavimai
41.12.	Nuostatos, kuriomis užtikrinama, kad Įstaigos duomenys būtų prieinami Įstaigai paslaugų teikėjo nemokumo, pertvarkymo ar veiklos nutraukimo atvejais
41.13.	Paslaugų teikėjo prievolė bendradarbiauti su Įstaigos priežiūros ir pertvarkymo institucijomis, įskaitant kitus jų paskirtus asmenis
41.14.	Nuostatos, užtikrinančios teisės aktuose nustatytus pertvarkymo institucijos įgaliojimus (jei taikoma)
41.15.	Neribota Įstaigos ir priežiūros institucijų teisė atlikti paslaugų teikėjo patikrinimus ir auditą, kiek tai susiję su perduotų veiklos funkcijų vykdymu
41.16.	Sutarties nutraukimo sąlygos