Latvijas Bankas noteikumi Nr. 374

Rīgā 2024. gada 16. decembrī

Izdoti saskaņā ar Kredītiestāžu likuma 10.¹ panta divdesmito daļu
un 50. panta otro daļu un Maksājumu pakalpojumu un
elektroniskās naudas likuma 29. panta 1.¹ daļu un 48. panta trešo daļu

1. Noteikumi nosaka kredītiestādēm, maksājumu iestādēm un elektroniskās naudas iestādēm (turpmāk kopā – iestāde):

1.1. prasības ārpakalpojumu izmantošanai, tai skaitā ārpakalpojumu politikā un procedūrās un nozīmīgu ārpakalpojumu līgumos iekļaujamās prasības;

1.2. prasības ar ārpakalpojumu izmantošanu saistīto risku novērtēšanai, tai skaitā risku, ko rada vienošanās ar trešajām personām, novērtēšanai;

1.3. Latvijas Bankai iesniedzamos dokumentus un informāciju nozīmīgu ārpakalpojumu saņemšanai;

1.4. darījumus, kas nav uzskatāmi par ārpakalpojumiem;

1.5. kārtību, kādā iestāde informē par ārpakalpojumu tālāku deleģēšanu;

1.6. kārtību, kādā iestāde identificē nozīmīgus ārpakalpojumus un ziņo par to grozījumiem.

2. Noteikumos lietoti šādi termini:

2.1. kritiski svarīga vai nozīmīga funkcija – process, pakalpojums vai cita darbība (turpmāk – funkcija), kuru iestāde atbilstoši šo noteikumu IV nodaļā noteiktajam novērtējumam ir identificējusi kā kritiski svarīgu vai nozīmīgu;

2.2. pārvaldes institūcija – iestādes padome un valde.

3. Šos noteikumus piemēro tiktāl, ciktāl attiecīgos jautājumus neregulē Eiropas Parlamenta un Padomes 2022. gada 14. decembra regula (ES) Nr. 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/101.

4. Latvijas Republikā reģistrēta kredītiestāde ievēro šo noteikumu prasības individuāli, prudenciālās konsolidācijas grupas līmenī vai subkonsolidēti Eiropas Parlamenta un Padomes 2013. gada 26. jūnija regulas (ES) Nr. 575/2013 par prudenciālajām prasībām attiecībā uz kredītiestādēm, un ar ko groza regulu (ES) Nr. 648/2012 (turpmāk – Regula Nr. 575/2013) izpratnē.

5. Iestādēm, kuru uzraudzību veic Eiropas Centrālā banka, šie noteikumi piemērojami, ciktāl tie nav pretrunā ar Eiropas Centrālās bankas noteiktajām prasībām ārpakalpojumu izmantošanai.

6. Maksājumu iestāde un elektroniskās naudas iestāde šo noteikumu prasības piemēro individuāli.

7. Piemērojot šo noteikumu prasības, iestāde ņem vērā tās lielumu, darbības veidu, sarežģītību, ārpakalpojumu sniedzējiem deleģēto funkciju apjomu, riskus, kas saistīti ar ārpakalpojumu līgumu izpildi, un ārpakalpojumu iespējamo ietekmi uz iestādes darbības nepārtrauktību, kā arī nodrošina nepieciešamos resursus, tai skaitā speciālistus ar atbilstošu kvalifikāciju un pieredzi.

8. Saskaņā ar Regulu Nr. 575/2013 mātes sabiedrība nodrošina grupas līmeņa politikas un procedūru ieviešanu ārpakalpojumu izmantošanas jomā attiecībā uz visām meitas sabiedrībām, kas iekļautas konsolidācijas grupā vai subkonsolidācijas grupā, ņemot vērā attiecīgās valsts, kurā atrodas meitas sabiedrība, normatīvo aktu prasības, kā arī uzrauga to īstenošanu.

9. Iestāde atbilstoši konsolidācijas grupā vai subkonsolidācijas grupā ieviestiem centralizēti nodrošinātiem iekšējās pārvaldības pasākumiem ievēro šādas prasības:

9.1. gadījumos, kad iestāde deleģē savas funkcijas ārpakalpojumu sniedzējam grupas ietvaros, tās pārvaldes institūcijas saglabā pilnu atbildību par normatīvo aktu prasību ievērošanu un nodrošina atbilstību šo noteikumu prasībām;

9.2. ja grupas ietvaros ārpakalpojumu sniedzējam tiek deleģētas iekšējās kontroles funkcijas, iestāde nodrošina šo funkciju efektīvu izpildi un saņem visu uzraudzībai un revīzijai nepieciešamo informāciju, tai skaitā ziņojumus.

10. Papildus šo noteikumu 9. punktā minētajam iestāde ņem vērā šādus nosacījumus:

10.1. iestāde nodrošina, ka ir iespējama ārpakalpojumu sniedzēju, kuriem deleģētas kritiski svarīgas vai nozīmīgas funkcijas, neatkarīga uzraudzība un kontrole (ziņojumu saņemšana, informācija par riska novērtēšanas un darbības uzraudzības rezultātiem);

10.2. iestādes pārvaldes institūcijas saņem informāciju par plānotajām izmaiņām attiecībā uz centralizēti uzraudzītiem ārpakalpojumu sniedzējiem un plānoto izmaiņu iespējamo ietekmi uz kritiski svarīgām vai nozīmīgām funkcijām, tai skaitā veiktā riska novērtējuma kopsavilkumu;

10.3. ja pirms ārpakalpojumu saņemšanas iestādes funkciju un ārpakalpojumu sniedzēja riska novērtējums tiek veikts centralizēti, iestāde konsolidācijas grupas vai subkonsolidācijas grupas ietvaros saņem veiktā novērtējuma kopsavilkumu un lēmumu pieņemšanas procesā ņem vērā katras grupas iestādes struktūru un riskus;

10.4. ja ir izveidots un tiek uzturēts centralizēts visu ārpakalpojumu reģistrs, Latvijas Bankai un katrai grupas iestādei ir tiesības un iespēja bez liekas kavēšanās iegūt informāciju par visu reģistru vai to reģistra daļu, kas attiecas tikai uz konkrētu iestādi, tai skaitā līgumiem ar ārpakalpojumu sniedzējiem grupas ietvaros;

10.5. ja iestāde paļaujas uz konsolidācijas grupā vai subkonsolidācijas grupā kritiski svarīgai vai nozīmīgai funkcijai noteikto ārpakalpojumu izbeigšanas stratēģiju, iestāde saņem stratēģijas kopsavilkumu un pārliecinās, ka plānu var efektīvi izpildīt.

11. Pirms ārpakalpojumu izmantošanas iestāde:

11.1. novērtē, vai funkcija, kuru plānots deleģēt ārpakalpojumu sniedzējam, ir kritiski svarīga vai nozīmīga atbilstoši šo noteikumu IV nodaļā noteiktajiem kritērijiem;

11.2. pārliecinās, ka ir izpildīti šo noteikumu 13. un 14. punktā noteiktie nosacījumi;

11.3. identificē un novērtē visus būtiskos riskus šo noteikumu IX nodaļā noteiktajā kārtībā;

11.4. veic ārpakalpojumu sniedzēja piemērotības pārbaudi šo noteikumu X nodaļā noteiktajā kārtībā;

11.5. identificē un novērtē iespējamos interešu konfliktus un veic nepieciešamos pasākumus to pārvaldīšanai.

12. Ārpakalpojumus, kuri nodrošina iestādes kritiski svarīgu vai nozīmīgu funkciju izpildi, iestāde identificē kā nozīmīgus ārpakalpojumus.

13. Iestāde nodrošina, ka finanšu pakalpojumu, kuru sniegšanai ir nepieciešams saņemt Latvijas Bankas atļauju (licenci), deleģēšana Latvijā vai Eiropas Savienības vai Eiropas Ekonomikas zonas valstī (turpmāk – dalībvalsts) reģistrētam ārpakalpojumu sniedzējam notiek tikai tad, ja Latvijas Banka vai dalībvalsts uzraudzības institūcija ir devusi atļauju ārpakalpojumu sniedzējam veikt šādas darbības vai sniegt ārpakalpojumus.

14. Iestāde nodrošina, ka finanšu pakalpojumu, kuru sniegšanai ir nepieciešams saņemt Latvijas Bankas atļauju (licenci), deleģēšana ārvalstī reģistrētam ārpakalpojumu sniedzējam notiek tikai tad, ja ir izpildīti šādi nosacījumi:

14.1. ārpakalpojumu sniedzējs ir saņēmis atļauju veikt šādas darbības vai sniegt ārpakalpojumus ārvalstī un to uzrauga attiecīgās valsts uzraudzības institūcija;

14.2. starp Latvijas Banku un attiecīgās ārvalsts uzraudzības institūciju ir noslēgts atbilstošs sadarbības līgums (piemēram, parakstīts saprašanās memorands vai izveidota kolēģija).

15. Lemjot par funkciju deleģēšanu ārpakalpojumu sniedzējam, iestāde novērtē, vai pēc funkciju deleģēšanas tā turpinās nodrošināt stabilu un ilgtspējīgu darbību.

16. Iestāde novērtē, vai plānotā funkciju deleģēšana ārpakalpojumu sniedzējam ir uzskatāma par līgumisku vienošanos starp iestādi un ārpakalpojumu sniedzēju, kas paredz šim ārpakalpojumu sniedzējam pienākumu veikt noteiktu funkciju, ko citādi veiktu pati iestāde, ņemot vērā to, vai funkcija (vai tās daļa), kuru plānots deleģēt ārpakalpojumu sniedzējam, tiek veikta pastāvīgi un vai šo funkciju (vai tās daļu) veic vai varētu veikt pati iestāde, pat ja tā iepriekš nekad šo funkciju nav veikusi.

17. Ja līgums ar ārpakalpojumu sniedzēju aptver vairākas funkcijas, iestāde ņem to vērā, veicot šo funkciju novērtējumu.

18. Iestāde par ārpakalpojumiem neuzskata:

18.1. funkcijas, kuras atbilstoši normatīvo aktu prasībām iestāde nevar veikt pati (piemēram, normatīvajos aktos noteikto finanšu pārskatu revīziju vai pārbaudes);

18.2. tirgus informācijas datu sniegšanas pakalpojumus (piemēram, Bloomberg, Moody’s, Standard & Poor’s, Fitch datu sniegšanu);

18.3. vienošanos par globālas tīkla infrastruktūras (piemēram, Visa, MasterCard) izmantošanu;

18.4. klīringa un norēķinu vienošanos starp klīringa iestādēm, centrālajiem darījumu starpniekiem un norēķinu iestādēm;

18.5. globālas finanšu ziņapmaiņas infrastruktūras, ko pārrauga attiecīgās iestādes, izmantošanu;

18.6. korespondentiestāžu pakalpojumus;

18.7. pakalpojumus, kurus iestāde citādi neveiktu (piemēram, arhitektu konsultācijas, juridiskās konsultācijas, pārstāvība tiesā vai citās valsts institūcijās, telpu uzkopšana, dārzkopība un uzturēšana, medicīnas pakalpojumi, automobiļu apkalpošana, ēdināšanas pakalpojumi, tirdzniecības automātu pakalpojumi, kancelejas pakalpojumi, ceļojumu pakalpojumi, pasta pakalpojumi, reģistratoru, sekretāru un sadales pults operatoru pakalpojumi, preču (piemēram, karšu un to lasītāju, biroja piederumu, datoru, mēbeļu) nodrošināšana vai komunālie pakalpojumi (piemēram, elektrība, gāze, ūdens, telefona līnija)).

19. Lai noteiktu, vai funkcija, kuru plānots deleģēt ārpakalpojumu sniedzējam, uzskatāma par kritiski svarīgu vai nozīmīgu, iestāde veic novērtējumu un to atbilstoši dokumentē.

20. Iestāde funkciju uzskata par kritiski svarīgu vai nozīmīgu, ja:

20.1. minētās funkcijas nepietiekamas izpildes vai neizpildes rezultātā būtiski pasliktinātos iestādes:

20.1.1. pastāvīga atbilstība tās darbību regulējošo normatīvo aktu prasībām;

20.1.2. finanšu rādītāji;

20.1.3. sniegto pakalpojumu un darbības stabilitāte vai nepārtrauktība;

20.2. tiek deleģēta iestādes iekšējās kontroles funkcija vai tās daļa, izņemot gadījumus, kad novērtējumā ir konstatēts, ka ārpakalpojumu sniedzējam deleģētās funkcijas neizpilde vai neatbilstoša izpilde nerada negatīvu ietekmi uz iestādes iekšējās kontroles funkcijas efektivitāti;

20.3. ārpakalpojumu sniedzējam tiek deleģēti iestādes finanšu pakalpojumi, kuru sniegšanai ir nepieciešams saņemt Latvijas Bankas atļauju (licenci).

21. Iestādes funkciju uzskata par kritiski svarīgu vai nozīmīgu, ja tā nepieciešama Kredītiestāžu un ieguldījumu brokeru sabiedrību darbības atjaunošanas un noregulējuma likuma 1. panta pirmās daļas 15. un 27. punktā noteiktās iestādes galvenās darbības jomas vai tādu kritiski svarīgu funkciju nodrošināšanai, kuras tiek identificētas atbilstoši Komisijas 2016. gada 2. februāra deleģētās regulas (ES) Nr. 2016/778, ar ko papildina Eiropas Parlamenta un Padomes direktīvu 2014/59/ES attiecībā uz apstākļiem un nosacījumiem, saskaņā ar kuriem pilnībā vai daļēji var atlikt ārkārtas ex post maksājumus, un par kritērijiem darbību, pakalpojumu un operāciju noteikšanai attiecībā uz kritiski svarīgajām funkcijām un darbības jomu un saistīto pakalpojumu noteikšanu attiecībā uz galvenajām darbības jomām, 6. un 7. pantā noteiktajiem kritērijiem, izņemot gadījumus, kad iestādes novērtējumā ir konstatēts, ka šo funkciju neizpilde vai neatbilstoša izpilde nerada negatīvu ietekmi uz galvenās darbības jomas vai kritiski svarīgu funkciju darbības nepārtrauktību.

22. Novērtējot, vai plānotā ārpakalpojumu izmantošana attiecas uz kritiski svarīgu vai nozīmīgu funkciju, iestāde ņem vērā šo noteikumu IX nodaļā minētā riska novērtējuma rezultātus, kā arī vismaz šādus faktorus:

22.1. to, vai ārpakalpojumu izmantošana ir tieši saistīta ar iestādes finanšu pakalpojumiem, kuru sniegšanai ir saņemta Latvijas Bankas atļauja (licence);

22.2. jebkādu traucējumu ietekmi uz ārpakalpojumu sniedzējam deleģētās funkcijas izpildi vai ārpakalpojumu sniedzēja nespēju pastāvīgi sniegt ārpakalpojumu tādā līmenī, kā to paredz līguma nosacījumi, un tā iespējamo ietekmi uz iestādes:

22.2.1. īstermiņa un ilgtermiņa finanšu noturību un dzīvotspēju, tai skaitā tās aktīviem, kapitālu, izmaksām, finansējumu, likviditāti, peļņu un zaudējumiem;

22.2.2. darbības nepārtrauktību un darbības noturību;

22.2.3. operacionālo risku, tai skaitā rīcības un juridiskajiem riskiem;

22.2.4. reputācijas risku;

22.2.5. darbības atjaunošanas un noregulējuma plānošanu, noregulējamību un darbības nepārtrauktību agrīnās intervences, darbības atjaunošanas vai noregulējuma pasākumu gadījumā (ja attiecināms);

22.3. ārpakalpojumu izmantošanas iespējamo ietekmi uz iestādes spēju:

22.3.1. noteikt, uzraudzīt un pārvaldīt visus riskus;

22.3.2. nodrošināt atbilstību iestādes darbību regulējošo normatīvo aktu prasībām;

22.3.3. veikt atbilstošas revīzijas attiecībā uz ārpakalpojumu sniedzējam deleģētajām funkcijām;

22.4. iespējamo ietekmi uz klientiem sniegtajiem pakalpojumiem;

22.5. iespējamo ietekmi uz visu ārpakalpojumu izmantošanu iestādē, vienam ārpakalpojumu sniedzējam deleģēto funkciju apjomu un iespējamo ietekmi uz ārpakalpojumu izmantošanu vienā un tajā pašā iestādes darbības jomā;

22.6. katras darbības jomas, uz kuru attiecas ārpakalpojumu līgums, lielumu un sarežģītību;

22.7. iespēju paplašināt funkciju tvērumu vai apjomu plānotajā ārpakalpojumu līgumā, negrozot to;

22.8. iespēju nepieciešamības gadījumā ārpakalpojumu sniedzējam deleģēto funkciju nodot citam ārpakalpojumu sniedzējam, tai skaitā paredzamos riskus, ietekmi uz iestādes darbības nepārtrauktību, kā arī šādu darbību veikšanas izmaksas un laika grafiku;

22.9. iespēju ārpakalpojumu sniedzējam deleģētās funkcijas izpildi pārņemt atpakaļ iestādē, ja tas ir nepieciešams vai vēlams;

22.10. fiziskas personas datu aizsardzību un iespējamo ietekmi uz privātumu, ko radītu iespējams konfidencialitātes pārkāpums vai nespēja nodrošināt datu pieejamību un integritāti, attiecībā uz iestādi un tās klientiem, ievērojot Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulas (ES) Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Regula Nr. 2016/679) prasības.

23. Iestāde saskaņā ar normatīvajos aktos par iestādes pārvaldības un iekšējās kontroles sistēmu noteiktajām prasībām identificē un pārvalda visus būtiskos ar ārpakalpojumu saņemšanu saistītos riskus, tai skaitā riskus, ko rada vienošanās ar trešajām personām, nodrošina risku mērīšanu, novērtēšanu, kontroli un riska pārskatu sagatavošanu. Iestāde pieņem pamatotus lēmumus par riska uzņemšanos un nodrošina, ka riska pārvaldības pasākumi tiek atbilstoši īstenoti, tai skaitā attiecībā uz kiberriskiem.

24. Iestāde, ņemot vērā šo noteikumu 7. punktā noteikto proporcionalitātes principu, identificē, novērtē, uzrauga un pārvalda visus riskus, kuri izriet no vienošanās ar trešajām personām un kuri uz tām attiecas vai varētu attiekties neatkarīgi no tā, vai šī vienošanās ir uzskatāma par ārpakalpojumu. Riska novērtējumu veic atbilstoši šo noteikumu IX nodaļā noteiktajām prasībām.

25. Iestāde nodrošina atbilstību Regulā Nr. 2016/679 noteiktajām prasībām par fizisku personu datu aizsardzību, izmantojot apstrādātāju, tai skaitā attiecībā uz ārpakalpojumu sniedzējiem deleģētajām funkcijām un jebkuru vienošanos ar trešajām personām.

26. Deleģējot funkcijas ārpakalpojumu sniedzējam, iestādes pārvaldes institūcijas nodrošina iestādes darbību regulējošo normatīvo aktu ievērošanu attiecībā uz ārpakalpojumu sniedzējiem deleģēto kritiski svarīgo vai nozīmīgo funkciju pārraudzību.

27. Iestāde nodrošina, ka ārpakalpojumu izmantošana nemazina prasības, kuras piemēro iestādes pārvaldes institūciju locekļu piemērotības novērtēšanai, tai skaitā nodrošina, ka tās pārvaldes institūciju locekļiem ir kolektīvi pietiekama kompetence un atbilstoša kvalifikācija ārpakalpojumu pārvaldībai un uzraudzībai.

28. Lai nodrošinātu ārpakalpojumu pārvaldību un uzraudzību, iestāde:

28.1. skaidri nosaka pienākumus ārpakalpojumu izmantošanas dokumentācijas sagatavošanai, pārvaldībai un kontrolei;

28.2. nodrošina pietiekamus resursus, lai ārpakalpojumu izmantošanas pārvaldību, uzraudzību un dokumentācijas sagatavošanu veiktu atbilstoši normatīvo aktu prasībām;

28.3. izveido struktūrvienību vai ieceļ atbildīgo personu, kura ir tieši pakļauta iestādes pārvaldes institūcijai (piemēram, personu, kura pilda pamatfunkcijas) un kura atbilstoši iestādes iekšējiem normatīvajiem aktiem ir atbildīga par šo noteikumu prasību izpildi, ārpakalpojumu izmantošanas risku pārvaldību un uzraudzību, kā arī par ārpakalpojumu izmantošanai nepieciešamās dokumentācijas pārraudzību. Maza un nesarežģīta iestāde nodrošina vismaz skaidru uzdevumu un pienākumu sadalījumu attiecībā uz ārpakalpojumu izmantošanas pārvaldību un kontroli un var deleģēt par ārpakalpojumu izmantošanu atbildīgās personas pienākumus iestādes pārvaldes institūcijas loceklim.

29. Pieņemot lēmumu par funkciju deleģēšanu ārpakalpojumu sniedzējam, iestāde pēc šo funkciju deleģēšanas nodrošina:

29.1. atbilstību visiem iestādes darbības atļaujas (licences) piešķiršanas nosacījumiem, nodrošinot efektīvu iestādes pārvaldes institūciju pienākumu veikšanu atbilstoši šo noteikumu 26. punktā noteiktajam;

29.2. skaidru un pārredzamu organizatorisko struktūru, kas ļauj nodrošināt atbilstību iestādes darbību regulējošo normatīvo aktu prasībām;

29.3. pienācīgu uzraudzību un spēju pārvaldīt riskus, ko rada kritiski svarīgu vai nozīmīgu funkciju deleģēšana ārpakalpojumu sniedzējiem, gadījumos, kad iekšējās kontroles sistēmas funkciju uzdevumus veic ārpakalpojumu sniedzējs (piemēram, ārpakalpojumu izmantošana konsolidācijas grupā vai subkonsolidācijas grupā);

29.4. pietiekamu resursu pieejamību, lai īstenotu atbilstību šo noteikumu 29.1., 29.2. un 29.3. apakšpunktā noteiktajām prasībām.

30. Izmantojot ārpakalpojumus, iestāde nodrošina, ka:

30.1. tā var pieņemt un īstenot lēmumus, kas saistīti ar tās darbību un kritiski svarīgu vai nozīmīgu funkciju, tai skaitā to, kuras deleģētas ārpakalpojumu sniedzējiem, veikšanu;

30.2. tā atbilstoši savam darbības veidam var sniegt finanšu pakalpojumus;

30.3. riski, kas saistīti ar esošo un plānoto ārpakalpojumu izmantošanu, tiek pienācīgi identificēti, novērtēti, pārvaldīti un mazināti;

30.4. ir ieviesti nepieciešamie konfidencialitātes pasākumi attiecībā uz datiem un citu informāciju;

30.5. tiek īstenota efektīva informācijas apmaiņa ar ārpakalpojumu sniedzējiem;

30.6. deleģējot ārpakalpojumu sniedzējiem kritiski svarīgas vai nozīmīgas funkcijas, attiecīgajā laikposmā tā spēj veikt vismaz vienu no turpmāk minētajām darbībām:

30.6.1. deleģēt funkciju citam ārpakalpojumu sniedzējam;

30.6.2. pārņemt ārpakalpojumu sniedzējam deleģētās funkcijas izpildi atpakaļ iestādē;

30.6.3. pārtraukt iestādes darbību jomā, kas saistīta ar ārpakalpojumu sniedzējam deleģēto funkciju;

30.7. tiek veikti nepieciešamie pasākumi, lai nodrošinātu personas datu apstrādi saskaņā ar Regulu Nr. 2016/679.

31. Iestādes iekšējā audita struktūrvienība, izmantojot uz risku izvērtējumu balstītu pieeju, veic ārpakalpojumu sniedzējiem deleģēto funkciju un ārpakalpojumu izmantošanas procesa neatkarīgu novērtējumu, īpaši attiecībā uz nozīmīgiem ārpakalpojumiem, un pārliecinās par:

31.1. iestādē izveidoto ārpakalpojumu izmantošanas procesa darbību un tā efektivitāti;

31.2. kritiski svarīgo vai nozīmīgo funkciju identificēšanu un veiktā novērtējuma kvalitāti un efektivitāti;

31.3. veiktā ārpakalpojumu izmantošanas riska novērtējuma kvalitāti un efektivitāti un risku atbilstību iestādes riska stratēģijai;

31.4. iestādes pārvaldes institūciju lomu ārpakalpojumu izmantošanas procesā;

31.5. ārpakalpojumu izmantošanas uzraudzību un pārvaldību iestādē.

32. Iestāde, kura plāno saņemt ārpakalpojumu, izstrādā ārpakalpojumu politiku un procedūras, kuras regulāri pārskata un aktualizē. Ārpakalpojumu politiku un procedūras apstiprina iestādes pārvaldes institūcija, tai skaitā nosaka tās piemērošanu individuāli, konsolidācijas grupas līmenī vai subkonsolidēti.

33. Iestāde dokumentē tās veikto ārpakalpojumu sniedzēju uzraudzības pasākumu rezultātus (piemēram, ārpakalpojumu sniedzēja darbības rezultātus, to atbilstību saskaņotajiem ārpakalpojumu līmeņiem un normatīvo aktu prasībām, veiktā riska novērtējuma atjaunināšanu).

34. Ārpakalpojumu politikā un procedūrās ņem vērā normatīvajos aktos par iestādes iekšējās kontroles sistēmu noteiktās prasības attiecībā uz jaunu finanšu pakalpojumu vai būtisku izmaiņu esošajos finanšu pakalpojumos ieviešanu.

35. Ārpakalpojumu politikā un procedūrās iestāde iekļauj ārpakalpojumu izmantošanas procesa galvenos posmus, ārpakalpojumu izmantošanas principus, atbildību un pienākumus un nosaka vismaz:

35.1. iestādes pārvaldes institūciju pienākumus atbilstoši šo noteikumu 26. punktā noteiktajam un lēmumu pieņemšanas procesu kritiski svarīgu vai nozīmīgu funkciju deleģēšanai ārpakalpojumu sniedzējiem;

35.2. iestādes iekšējās kontroles funkciju (tai skaitā risku kontroles funkcijas, darbības atbilstības kontroles funkcijas, iekšējā audita funkcijas) un biznesa funkciju lomu, kā arī citu personu iesaistīšanu ārpakalpojumu izmantošanas procesā;

35.3. ārpakalpojumu izmantošanas plānošanu, tai skaitā:

35.3.1. prasības ārpakalpojumu izmantošanai;

35.3.2. kritiski svarīgu vai nozīmīgu funkciju noteikšanas kritēriju piemērošanas kārtību;

35.3.3. riska identificēšanas, novērtēšanas un pārvaldības kārtību;

35.3.4. prasības plānoto ārpakalpojumu sniedzēju piemērotības novērtēšanai, tostarp atbilstoši šo noteikumu X nodaļas prasībām;

35.3.5. procedūras iespējamo interešu konfliktu identificēšanai, novērtēšanai, pārvaldībai un mazināšanai;

35.3.6. pasākumus darbības nepārtrauktības plānošanai saskaņā ar šo noteikumu VII nodaļas prasībām;

35.3.7. jaunu ārpakalpojumu izmantošanas apstiprināšanas procesu;

35.4. ārpakalpojumu izmantošanas uzraudzību un pārvaldību, tai skaitā:

35.4.1. ārpakalpojumu sniedzēja pastāvīgu un regulāru izpildes novērtējumu saskaņā ar šo noteikumu XV nodaļas prasībām;

35.4.2. procedūras, kas nosaka informācijas par izmaiņām attiecībā uz ārpakalpojumu izmantošanu vai ārpakalpojumu sniedzēju saņemšanu (piemēram, ārpakalpojumu sniedzēja finansiālais stāvoklis, izmaiņas ārpakalpojumu sniedzēja organizatoriskajā vai īpašumtiesību struktūrā, ārpakalpojumu tālāka deleģēšana);

35.4.3. neatkarīgu pārbaužu un revīzijas veikšanu, lai novērtētu atbilstību iestādes darbību regulējošo normatīvo aktu prasībām un iestādes ārpakalpojumu politikai un procedūrām;

35.4.4. darbības atjaunošanas procesus;

35.4.5. ārpakalpojumu dokumentēšanu un reģistrēšanu, ņemot vērā šo noteikumu X nodaļas prasības;

35.4.6. ārpakalpojumu izbeigšanas stratēģijas sagatavošanas un sadarbības pārtraukšanas procesus, paredzot, ka dokumentēta ārpakalpojumu izbeigšanas stratēģija tiek sagatavota katrai kritiski svarīgai vai nozīmīgai funkcijai, kuru plānots deleģēt ārpakalpojumu sniedzējam, ja iestāde šādu ārpakalpojumu izbeigšanu uzskata par iespējamu, ņemot vērā potenciālo ārpakalpojumu sniegšanas pārtraukumu vai neplānotu ārpakalpojumu līguma pārtraukšanu.

36. Ārpakalpojumu politikā un procedūrās atsevišķi nodala:

36.1. nozīmīgu ārpakalpojumu un pārējo ārpakalpojumu izmantošanas kārtību;

36.2. prasības ārpakalpojumiem, pirms kuru izmantošanas ir jāsaņem Latvijas Bankas atļauja;

36.3. kārtību tādu ārpakalpojumu izmantošanai, kurus sniedz konsolidācijas grupas vai subkonsoldācijas grupas ietvaros un ārpus tās;

36.4. kārtību tādu ārpakalpojumu izmantošanai, kurus deleģē dalībvalstī reģistrētiem ārpakalpojumu sniedzējiem un ārvalstī reģistrētiem ārpakalpojumu sniedzējiem.

37. Iestāde nodrošina, ka ārpakalpojumu politikā un procedūrās tiek iekļauti šādi nozīmīgu ārpakalpojumu izmantošanas iespējamās ietekmes aspekti un tie tiek ņemti vērā lēmumu pieņemšanas procesā:

37.1. iestādes riska profils;

37.2. iestādes spēja pārraudzīt ārpakalpojumu sniedzēju un pārvaldīt atbilstošos riskus;

37.3. darbības nepārtrauktības pasākumi;

37.4. iestādes darbības rezultāti.

38. Iestāde ievieš, uztur un regulāri pārbauda darbības nepārtrauktības plānu attiecībā uz ārpakalpojumu sniedzējiem deleģētajām kritiski svarīgām vai nozīmīgām funkcijām. Iestāde var paļauties uz tās mātes sabiedrības centralizēti sagatavotiem darbības nepārtrauktības plāniem attiecībā uz ārpakalpojumu sniedzējiem deleģētajām funkcijām.

39. Darbības nepārtrauktības plānos paredz situācijas, kad ārpakalpojumu sniedzējiem deleģētu kritiski svarīgu vai nozīmīgu funkciju nodrošināšanas kvalitāte pasliktinās līdz kritiskam līmenim vai tās netiek pildītas. Darbības nepārtrauktības plānos ietver arī ārpakalpojumu sniedzēja maksātnespējas vai citu apstākļu (piemēram, darbības pārtraukšana vai ierobežojumu noteikšana, tiesvedības procesi) iespējamo ietekmi, veicamos pasākumus un arī ar ārpakalpojumu sniedzēju saistītos politiskos riskus, ja tādi pastāv.

40. Iestāde izveido, pastāvīgi uztur un aktualizē reģistru par visām līgumiskajām saistībām ar ārpakalpojumu sniedzējiem un tajā iekļauj vismaz šādu informāciju:

40.1. katra ārpakalpojuma identifikācijas numuru;

40.2. līguma spēkā stāšanās vai ārpakalpojumu saņemšanas uzsākšanas datumu un, ja iespējams, nākamās līguma atjaunošanas datumu, beigu datumu vai paziņošanas par līguma izbeigšanos termiņu attiecībā uz ārpakalpojumu sniedzēju un iestādi;

40.3. ārpakalpojumu sniedzējam deleģētās funkcijas īsu aprakstu, tai skaitā informāciju par datiem, kas nodoti ārpakalpojumu sniedzējam ārpakalpojumu nodrošināšanai, un atsauci uz personas datu apstrādes reģistrā iekļauto informāciju;

40.4. iestādes piešķirto ārpakalpojuma kategoriju, kas raksturo ārpakalpojumu sniedzējam deleģētās funkcijas būtību (piemēram, kontroles funkcija);

40.5. ārpakalpojumu sniedzēja nosaukumu, reģistrācijas numuru, juridiskās personas identifikatoru (ja pieejams), juridisko adresi un kontaktinformāciju, kā arī ārpakalpojumu sniedzēja mātes sabiedrības nosaukumu (ja tāda ir);

40.6. valsti vai valstis, kurās paredzēts sniegt ārpakalpojumu, kā arī datu atrašanās vietu (valsti vai reģionu);

40.7. norādi, vai ārpakalpojumu sniedzējam deleģētā funkcija ir kritiski svarīga vai nozīmīga, kā arī, ja iespējams, novērtējuma pamatojumu;

40.8. norādi par datumu, kad veikts ārpakalpojumu sniedzējam deleģētās funkcijas nozīmīguma vai kritiskā svarīguma novērtējums.

41. Reģistrā informāciju par ārpakalpojumu sniedzējiem deleģētajām kritiski svarīgajām vai nozīmīgajām funkcijām nošķir no pārējiem ārpakalpojumiem un papildus iekļauj vismaz šādu informāciju:

41.1. iestādes un citas sabiedrības, kuras konsolidācijas grupā vai subkonsolidācijas grupā izmanto ārpakalpojumus;

41.2. norādi, vai ārpakalpojumu sniedzējs vai apakšuzņēmējs ir daļa no konsolidācijas grupas vai subkonsolidācijas grupas;

41.3. norādi, kad veikts riska novērtējums, un īsu galveno rezultātu kopsavilkumu;

41.4. iestādes pārvaldes institūciju, kas apstiprinājusi ārpakalpojuma izmantošanu;

41.5. ārpakalpojumu līgumu regulējošos tiesību aktus;

41.6. norādi par veikto un, ja ir zināmi, tad arī plānoto pārbaužu vai revīziju datumiem;

41.7. ja attiecas – to apakšuzņēmēju nosaukumus, kuriem tiks tālāk deleģētas kritiski svarīgu vai nozīmīgu funkciju būtiskas daļas, kā arī valsti, kurā reģistrēti apakšuzņēmēji un kurā ārpakalpojums tiks sniegts, un vajadzības gadījumā valsti vai reģionu, kurā tiks glabāti dati;

41.8. ārpakalpojumu sniedzēja aizstājamības novērtējuma rezultātus (viegli, grūti vai neiespējami), iespēju pārņemt atpakaļ iestādē ārpakalpojumu sniedzējam deleģētās kritiski svarīgās vai nozīmīgās funkcijas izpildi vai ietekmes novērtējumu gadījumā, ja plānots atteikties no kritiski svarīgas vai nozīmīgas funkcijas veikšanas;

41.9. alternatīvu ārpakalpojumu sniedzēju identificēšanas procesa rezultātus, ievērojot šo noteikumu 41.7. apakšpunktā noteikto;

41.10. norādi, vai ārpakalpojumu sniedzējam deleģētās kritiski svarīgās vai nozīmīgās funkcijas izpilde ir steidzama;

41.11. plānotās ārpakalpojuma gada budžeta izmaksas.

42. Iestāde pēc pieprasījuma sniedz Latvijas Bankai pilnu reģistra informāciju vai atsevišķu tā informācijas daļu. Iestāde šo informāciju sniedz apstrādājamā elektroniskā formātā.

43. Iestāde nodrošina reģistrā iekļautās informācijas un dokumentu uzglabāšanu vismaz piecus gadus pēc ārpakalpojumu līguma darbības termiņa beigām.

44. Iestādes konsolidācijas grupā vai subkonsolidācijas grupā ārpakalpojumu reģistru var uzturēt centralizēti.

45. Iestāde novērtē ārpakalpojuma izmantošanas iespējamo ietekmi uz operacionālo risku. Pieņemot lēmumu par to, vai funkciju var deleģēt ārpakalpojumu sniedzējam, ņem vērā minētā novērtējuma rezultātus un pirms ārpakalpojumu līguma noslēgšanas veic nepieciešamos pasākumus, lai novērstu papildu operacionālo risku.

46. Šo noteikumu 45. punktā minētajā novērtējumā vajadzības gadījumā ietver iespējamo risku scenārijus, tai skaitā augsta līmeņa operacionālā riska scenārijus. Veicot scenāriju analīzi, iestāde ņem vērā identificētos trūkumus ārpakalpojumu izmantošanas procesā, novērtē iepriekšējo ārpakalpojumu izmantošanas rezultātus un to iespējamo ietekmi uz operacionālo risku, tai skaitā riskus, ko rada procesi, sistēmas, cilvēki vai ārēji notikumi. Iestāde, ievērojot šo noteikumu 7. punktā minēto proporcionalitātes principu, dokumentē veiktās analīzes rezultātus un novērtē, cik lielā mērā ārpakalpojumu izmantošana ietekmēs operacionālā riska līmeni.

47. Iestāde, kura nav atzīta par citu sistēmiski nozīmīgu iestādi, ņemot vērā šo noteikumu 7. punktā noteikto, var izmantot kvalitatīvas riska novērtēšanas metodes. Pārējās iestādes riska novērtēšanai izmanto pieeju, kas nodrošina visaptverošu iestādes riska novērtējumu, ja iespējams, ietverot kvantitatīvus datus par iekšējiem un ārējiem zaudējumiem, lai iegūtu informāciju scenāriju analīzei.

48. Veicot riska novērtējumu, iestāde ņem vērā arī paredzamos ieguvumus un izmaksas saistībā ar plānoto ārpakalpojuma izmantošanu, izvērtē riskus, kurus var mazināt vai pārvaldīt labāk, un jebkurus iespējamos riskus, kas var rasties plānotā ārpakalpojuma izmantošanas rezultātā, ņemot vērā vismaz:

48.1. koncentrācijas risku, kas ietver:

48.1.1. ārpakalpojumu deleģēšanu dominējošam ārpakalpojumu sniedzējam, kas nav viegli aizstājams;

48.1.2. vairāku ārpakalpojumu nodošanu vienam un tam pašam ārpakalpojumu sniedzējam vai cieši saistītiem ārpakalpojumu sniedzējiem;

48.2. kopējo risku gadījumā, kad ārpakalpojumu sniedzējiem deleģētas vairākas iestādes funkcijas, vai kopējo risku konsolidācijas grupā vai subkonsolidācijas grupā, ja ārpakalpojumu sniedzējiem deleģētas vairākas funkcijas grupas ietvaros;

48.3. intervences risku, kas var rasties, ja ārpakalpojumu sniedzējam, kurš nonācis grūtībās, nepieciešams sniegt finansiālu atbalstu vai pārņemt tā darbību;

48.4. pasākumus, ko īsteno iestāde un ārpakalpojumu sniedzējs, lai pārvaldītu un mazinātu riskus.

49. Ja ārpakalpojumu izmantošana paredz iespēju, ka ārpakalpojumu sniedzējs kritiski svarīgas vai nozīmīgas funkcijas deleģē tālāk citiem ārpakalpojumu sniedzējiem, iestāde ņem vērā:

49.1. riskus, kas saistīti ar ārpakalpojumu tālāku deleģēšanu, tai skaitā papildu riskus, kas var rasties, ja apakšuzņēmējs atrodas ārvalstī vai citā valstī, nevis ārpakalpojumu sniedzēja valstī;

49.2. risku, ka garas un sarežģītas ārpakalpojumu tālākas deleģēšanas ķēdes samazina iestādes spēju pārraudzīt ārpakalpojumu sniedzējam deleģētās kritiski svarīgās vai nozīmīgās funkcijas izpildi un Latvijas Bankas spēju efektīvi to uzraudzīt.

50. Veicot riska novērtējumu pirms ārpakalpojumu izmantošanas un īstenojot ārpakalpojumu sniedzēja darbības pastāvīgu uzraudzību, iestāde vismaz:

50.1. identificē un klasificē attiecīgās funkcijas, kā arī nosaka, vai ar tām saistītās sistēmas un dati ir sensitīvi un kādi aizsardzības pasākumi ir nepieciešami;

50.2. veic rūpīgu uz risku izvērtējumu balstītu analīzi par funkcijām, kuras paredzēts deleģēt ārpakalpojumu sniedzējiem vai kuras jau nodrošina ārpakalpojumu sniedzēji, un ar tām saistītajiem datiem un sistēmām, kā arī novērš iespējamos riskus, īpaši operacionālo risku, tai skaitā juridisko un atbilstības risku, kā arī reputācijas risku, un vērtē arī uzraudzības ierobežojumus attiecībā uz valstīm, kurās tiek nodrošināti vai var tikt nodrošināti ārpakalpojumi un tiek glabāti vai var tikt glabāti dati;

50.3. apsver sekas, ko rada ārpakalpojumu sniedzēja atrašanās vieta (dalībvalstī vai ārvalstī);

50.4. apsver attiecīgo jurisdikciju politisko stabilitāti un drošību, tai skaitā:

50.4.1. spēkā esošos tiesību aktus, tostarp tiesību aktus par fizisku personu datu aizsardzību;

50.4.2. spēkā esošos tiesībaizsardzības noteikumus;

50.4.3. maksātnespējas normatīvo aktu prasības, kas attiecas uz ārpakalpojumu sniedzēju, un jebkādus ierobežojumus (piemēram, darbības ierobežojumu noteikšanu, tiesvedības procesu), kas varētu rasties, īpaši saistībā ar nepieciešamību steidzami atgūt iestādes datus;

50.5. definē un pieņem lēmumus par piemērotu līmeni datu konfidencialitātes aizsardzībai, deleģēto darbību nepārtrauktību, datu un sistēmu integritāti un izsekojamību plānotās ārpakalpojumu izmantošanas kontekstā. Elektroniskās naudas iestādes un maksājumu iestādes arī apsver iespēju vajadzības gadījumā ieviest īpašus pasākumus attiecībā uz datiem, kuri tiek pārsūtīti vai tiek glabāti elektroniskajā atmiņā un pašlaik netiek izmantoti (piemēram, šifrēšanas tehnoloģiju izmantošanu apvienojumā ar piemērotas datu pārvaldības infrastruktūras nodrošināšanu);

50.6. novērtē, vai ārpakalpojumu sniedzējs ir iestādes meitas sabiedrība vai mātes sabiedrība, vai tas ir iekļauts konsolidācijas grupā vai subkonsolidācijas grupā un kādā apmērā iestāde to kontrolē vai spēj ietekmēt tā darbību.

51. Pirms ārpakalpojumu līguma slēgšanas iestāde ārpakalpojumu sniedzēja atlases un novērtēšanas procesā pārliecinās par ārpakalpojumu sniedzēja piemērotību un ņem vērā operacionālo risku, kas saistīts ar funkciju deleģēšanu ārpakalpojumu sniedzējam.

52. Nozīmīgu ārpakalpojumu gadījumā iestāde pārliecinās par ārpakalpojumu sniedzēja spēju veikt funkciju, kuru tam plānots deleģēt, tā reputāciju, kompetenci, resursiem (piemēram, cilvēku, informācijas tehnoloģiju, finanšu), organizatorisko struktūru un nepieciešamības gadījumā – atļaujas (licences) vai reģistrācijas esamību, lai īstenotu kritiski svarīgu vai nozīmīgu funkciju uzticamā un profesionālā veidā un nodrošinātu savu saistību izpildi visā plānotajā ārpakalpojumu līguma darbības laikā.

53. Veicot ārpakalpojumu sniedzēja piemērotības pārbaudi, iestāde novērtē vismaz šādus faktorus:

53.1. ārpakalpojumu sniedzēja uzņēmējdarbības veidu, būtību, apjomu, sarežģītību, finanšu situāciju, īpašumtiesības un grupas struktūru;

53.2. ārpakalpojumu sniedzēja ilgtermiņa attiecības ar ārpakalpojumu sniedzējiem, kuri jau ir novērtēti un kuri sniedz ārpakalpojumus iestādei;

53.3. to, vai ārpakalpojumu sniedzējs ir iestādes mātes sabiedrība vai meitas sabiedrība un vai tas ir konsolidācijas grupas vai subkonsolidācijas grupas sastāvā;

53.4. to, vai ārpakalpojumu sniedzēju uzrauga attiecīgā uzraudzības institūcija.

54. Ja ārpakalpojumu izmantošana ietver personas datu vai konfidenciālu datu apstrādi, iestāde pārliecinās, vai ārpakalpojumu sniedzējs īsteno datu aizsardzībai nepieciešamos tehniskos un organizatoriskos pasākumus.

55. Iestāde veic nepieciešamos pasākumus, lai nodrošinātu ārpakalpojumu sniedzēju darbības atbilstību tās korporatīvajām vērtībām un ētikas kodeksam, īpaši attiecībā uz ārpakalpojumu sniedzējiem, kuri atrodas ārvalstīs, un vajadzības gadījumā to apakšuzņēmējiem. Iestāde pārliecinās, vai ārpakalpojumu sniedzēji darbojas ētiski un sociāli atbildīgi un vai tie ievēro starptautiskos standartus cilvēktiesību un vides aizsardzības jomā un nodrošina atbilstošus darba apstākļus.

56. Iestādes un ārpakalpojumu sniedzēja tiesības un pienākumus skaidri norāda rakstveida ārpakalpojumu līgumā.

57. Nozīmīgu ārpakalpojumu līgumā ietver vismaz šādu informāciju:

57.1. funkcijas, kuru plānots deleģēt ārpakalpojumu sniedzējam, skaidru aprakstu;

57.2. ārpakalpojuma saņemšanas uzsākšanas datumu un, ja iespējams, beigu datumu vai paziņošanas par līguma izbeigšanos termiņu attiecībā uz ārpakalpojumu sniedzēju un iestādi;

57.3. norādi par ārpakalpojumu līgumu regulējošiem tiesību aktiem;

57.4. līgumslēdzēju pušu finanšu saistības;

57.5. norādi, vai ārpakalpojumu vai būtisku tā daļu ir atļauts deleģēt tālāk atbilstoši šo noteikumu XIII nodaļā minētajiem nosacījumiem;

57.6. valstis vai reģionus, kur tiks nodrošināta deleģētā funkcija vai tiks glabāti un apstrādāti attiecīgie dati, tai skaitā datu iespējamo glabāšanas vietu un glabāšanas nosacījumus, kas jāievēro, kā arī ietver prasību informēt iestādi, ja ārpakalpojumu sniedzējs ierosina mainīt šo vietu vai vietas;

57.7. vajadzības gadījumā noteikumus par piekļuvi attiecīgajiem datiem, kā arī to pieejamību, integritāti, privātumu un drošību;

57.8. iestādes tiesības pastāvīgi uzraudzīt ārpakalpojumu sniedzēja darbību un rezultātus;

57.9. ārpakalpojuma sniegšanas kritērijus, kuros iekļauj precīzi noteiktus ārpakalpojumu sniedzējam deleģēto funkciju kvantitatīvos un kvalitatīvos mērķus, kas ļauj laikus īstenot uzraudzību, lai bez liekas kavēšanās varētu veikt atbilstošus koriģējošos pasākumus, ja nav ievēroti līgumā paredzētie ārpakalpojuma sniegšanas kritēriji;

57.10. ārpakalpojumu sniedzēja pienākumu sniegt iestādei ziņojumus, ieskaitot ārpakalpojumu sniedzēja ziņojumu par jebkādu procesa attīstību, kas var būtiski ietekmēt ārpakalpojumu sniedzēja spēju efektīvi īstenot kritiski svarīgo vai nozīmīgo funkciju izpildi atbilstoši līgumā paredzētajiem ārpakalpojuma sniegšanas kritērijiem un saskaņā ar piemērojamajiem normatīvajiem aktiem, kā arī vajadzības gadījumā pienākumu iesniegt ārpakalpojumu sniedzēja iekšējā audita ziņojumus;

57.11. norādi, vai ārpakalpojumu sniedzējam ir jāveic obligātā apdrošināšana pret noteiktiem riskiem, un vajadzības gadījumā pieprasīto apdrošināšanas seguma līmeni;

57.12. prasības īstenot un pārbaudīt darbības nodrošināšanas ārkārtas situācijās plānus;

57.13. noteikumus, kas nodrošina piekļuvi iestādes īpašumā esošajiem datiem ārpakalpojumu sniedzēja maksātnespējas, noregulējuma vai darbības pārtraukšanas gadījumā;

57.14. ārpakalpojumu sniedzēja pienākumu sadarboties ar Latvijas Banku, tai skaitā ar citām personām, ko tā pilnvarojusi;

57.15. skaidru norādi uz noregulējuma iestādes pilnvarām atbilstoši Kredītiestāžu un ieguldījumu brokeru sabiedrību darbības atjaunošanas un noregulējuma likuma 90., 91., 92. un 93. pantā noteiktajam;

57.16. iestādes un Latvijas Bankas tiesības pārbaudīt ārpakalpojumu sniedzēja darbību tā atrašanās vai ārpakalpojuma sniegšanas vietā, tai skaitā pieprasīt jebkādus dokumentus un iepazīties ar visiem dokumentiem, kas saistīti ar konkrēto ārpakalpojumu, kā arī pieprasīt no ārpakalpojumu sniedzēja, tā pārstāvjiem vai darbiniekiem paskaidrojumus un informāciju, kas saistīta ar ārpakalpojuma sniegšanu, īpaši attiecībā uz ārpakalpojumu sniedzējam deleģētu kritiski svarīgu vai nozīmīgu funkciju;

57.17. ārpakalpojumu līguma pārtraukšanas tiesības, kā arī prasību iestādei informēt Latvijas Banku par ārpakalpojumu līguma pārtraukšanu;

57.18. šo noteikumu XIV nodaļā noteikto prasību par piekļuves, informācijas pieejamības un revīzijas tiesībām.

58. Ārpakalpojumu līgumā skaidri paredz iestādei iespēju pārtraukt līgumu atbilstoši piemērojamajiem tiesību aktiem, kā arī gadījumos, kad:

58.1. ārpakalpojumu sniedzējs ir pārkāpis piemērojamos tiesību aktus vai līgumiskos noteikumus;

58.2. tiek konstatēti šķēršļi, kas var ietekmēt ārpakalpojumu sniedzējam deleģētās funkcijas izpildi;

58.3. ir notikušas būtiskas izmaiņas, kas ietekmē ārpakalpojuma izmantošanu vai ārpakalpojumu sniedzēju (piemēram, ārpakalpojuma tālāka deleģēšana vai apakšuzņēmēju nomaiņa);

58.4. konstatēti trūkumi attiecībā uz konfidenciālu datu, personas datu vai citādi sensitīvu datu vai informācijas pārvaldību un drošību;

58.5. ārpakalpojuma izmantošana liedz vai ierobežo Latvijas Bankas iespējas veikt normatīvajos aktos noteiktās uzraudzības funkcijas.

59. Ārpakalpojumu līgumā nosaka prasības, kas nodrošina ārpakalpojumu sniedzējam deleģētās funkcijas iespējami vienkāršu un operatīvu nodošanu citam ārpakalpojumu sniedzējam vai nodrošina iestādei iespēju pārņemt ārpakalpojumu sniedzējam deleģētās funkcijas izpildi atpakaļ iestādē. Šajā nolūkā ārpakalpojumu līgumā:

59.1. skaidri izklāsta esošā ārpakalpojumu sniedzēja pienākumus gadījumā, ja ārpakalpojumu sniedzējam deleģētā funkcija tiek nodota citam ārpakalpojumu sniedzējam vai tās izpilde tiek pārņemta atpakaļ iestādē, ietverot arī datu apstrādi;

59.2. nosaka piemērotu pārejas periodu, kurā pēc ārpakalpojumu līguma pārtraukšanas ārpakalpojumu sniedzējs turpina sniegt tam deleģēto funkciju, lai samazinātu pārtraukuma risku;

59.3. ietver ārpakalpojumu sniedzēja pienākumu sniegt atbalstu iestādei, veicot organizētu funkcijas nodošanu ārpakalpojumu līguma pārtraukšanas gadījumā.

60. Gadījumos, kad nozīmīgu ārpakalpojumu tālāka deleģēšana ir atļauta, iestāde novērtē, vai tā funkcijas daļa, kuru paredzēts deleģēt tālāk, ir kritiski svarīga vai nozīmīga (tas ir, kritiski svarīgas vai nozīmīgas funkcijas būtiska daļa), un par to veic ierakstu ārpakalpojumu reģistrā.

61. Ja tālāk tiek deleģēts nozīmīgs ārpakalpojums, ārpakalpojumu sniedzējs un iestāde, rakstveidā vienojoties:

61.1. precizē visus nosacījumus, ko neietver nozīmīga ārpakalpojuma tālāka deleģēšana;

61.2. precizē nosacījumus, kas jāievēro nozīmīga ārpakalpojuma tālākas deleģēšanas gadījumā;

61.3. norāda, ka ārpakalpojumu sniedzējam ir pienākums pārraudzīt ārpakalpojumus, par kuriem tam ir noslēgti apakšlīgumi, lai nodrošinātu, ka visas līgumsaistības starp ārpakalpojumu sniedzēju un iestādi tiek pastāvīgi izpildītas;

61.4. paredz, ka ārpakalpojumu sniedzējam pirms ārpakalpojuma fizisko personu datu jomā tālākas deleģēšanas ir jāsaņem iestādes rakstveida atļauja atbilstoši Regulas Nr. 2016/679 28. pantā noteiktajām prasībām;

61.5. norāda, ka ārpakalpojumu sniedzējam ir pienākums informēt iestādi par visiem plānotajiem ārpakalpojumu tālākas deleģēšanas gadījumiem vai to būtiskām izmaiņām, īpaši, ja tas var ietekmēt ārpakalpojumu sniedzēja spēju pildīt pienākumus saskaņā ar ārpakalpojumu līgumu. Ja tiek plānotas izmaiņas attiecībā uz apakšuzņēmējiem vai termiņu, kādā iestāde saņem informāciju par plānotajām izmaiņām, tad nodrošina, lai iestāde varētu veikt ierosināto izmaiņu riska novērtējumu un tai būtu tiesības iebilst pret izmaiņām, pirms stājas spēkā plānotā ārpakalpojumu tālāka deleģēšana vai būtiskas izmaiņas;

61.6. nodrošina, ka iestādei ir tiesības iebilst pret paredzēto ārpakalpojumu tālāku deleģēšanu vai ar to saistītām būtiskām izmaiņām un ir nepieciešams saņemt iestādes apstiprinājumu;

61.7. nodrošina, ka iestādei ir tiesības nekavējoties izbeigt ārpakalpojumu līgumu, ja ārpakalpojumu tālāka deleģēšana būtiski palielina iestādes riskus vai ja ārpakalpojumu sniedzējs veic ārpakalpojumu tālāku deleģēšanu, nepaziņojot par to iestādei.

62. Iestāde var piekrist ārpakalpojumu tālākai deleģēšanai tikai tad, ja apakšuzņēmējs apņemas:

62.1. ievērot tā darbībai saistībā ar ārpakalpojumu sniegšanu piemērojamos normatīvos aktus un līgumsaistības;

62.2. piešķirt iestādei un Latvijas Bankai tādas pašas piekļuves un revīzijas tiesības kā tās, ko piešķīris ārpakalpojumu sniedzējs.

63. Iestāde nodrošina, ka ārpakalpojumu sniedzējs pienācīgi pārrauga apakšuzņēmējus atbilstoši iestādē noteiktajai ārpakalpojumu politikai un procedūrām. Ja ārpakalpojumu tālāka deleģēšana var būtiski negatīvi ietekmēt kritiski svarīgu vai nozīmīgu funkciju izpildi vai paaugstina riskus, kā arī var netikt izpildīti šajā nodaļā minētie nosacījumi, iestāde izmanto tiesības iebilst pret ārpakalpojumu tālāku deleģēšanu vai pārtraukt ārpakalpojumu līgumu.

64. Iestāde ārpakalpojumu līgumā nosaka prasību, ka iekšējā audita struktūrvienība, izmantojot uz risku izvērtējumu balstītu pieeju, veic ārpakalpojumu sniedzējam deleģēto funkciju pārbaudes.

65. Neatkarīgi no tā, vai ārpakalpojumu sniedzējam deleģētā funkcija ir kritiski svarīga vai nozīmīga, ārpakalpojumu līgumā nosaka tiesības Latvijas Bankai piekļūt informācijai un veikt pārbaudi saskaņā ar Kredītiestāžu un ieguldījumu brokeru sabiedrību darbības atjaunošanas un noregulējuma likuma 12. pantu un Kredītiestāžu likuma 8. un 106. pantu attiecībā uz ārpakalpojumu sniedzējiem, kuri atrodas dalībvalstī vai ārvalstī.

66. Attiecībā uz ārpakalpojumu sniedzējam deleģētajām kritiski svarīgām vai nozīmīgām funkcijām ārpakalpojumu līgumā paredz, ka ārpakalpojumu sniedzējs iestādei un Latvijas Bankai, tai skaitā kā noregulējuma iestādei, un jebkurai citai iestādes vai Latvijas Bankas pilnvarotai personai nodrošina:

66.1. piekļuvi visām attiecīgajām uzņēmējdarbības telpām (piemēram, galvenajiem birojiem un darbības centriem), tai skaitā visām ierīcēm, sistēmām, tīkliem, informācijai un datiem, ko izmanto ārpakalpojumu sniedzējam deleģētajai funkcijai, tostarp ar to saistītajai finanšu informācijai, personālam un ārpakalpojumu sniedzēja ārējiem revidentiem;

66.2. ārpakalpojumu izmantošanas pārbaudes un revīzijas tiesības ārpakalpojumu izmantošanas uzraudzībai un atbilstības normatīvo aktu un līgumiskajām prasībām nodrošināšanai.

67. Lai ārpakalpojumu sniedzējam deleģētu funkcijas, kas nav kritiski svarīgas vai nozīmīgas, iestāde nodrošina piekļuves un revīzijas tiesības atbilstoši šo noteikumu 66. punktā noteiktajam, izmantojot uz risku izvērtējumu balstītu pieeju un ņemot vērā ārpakalpojumu sniedzējam deleģētās funkcijas būtību un ar to saistītos operacionālos un reputācijas riskus, funkcijas apjomu un iespējamo ietekmi uz darbības nepārtrauktību un līgumā noteikto termiņu. Iestāde ņem vērā, ka funkcija var kļūt kritiski svarīga vai nozīmīga.

68. Iestāde nodrošina, ka ārpakalpojumu līgums vai jebkura cita līgumiska vienošanās nekavē vai neierobežo iestādes, Latvijas Bankas vai trešo personu, ko tās pilnvarojušas savu tiesību īstenošanai, piekļuves un revīzijas tiesību efektīvu īstenošanu.

69. Iestāde, izmantojot savas piekļuves un revīzijas tiesības, atbilstoši uz risku izvērtējumu balstītai pieejai nosaka revīzijas biežumu un jomu, kurā jāveic revīzija, kā arī ievēro Latvijā atzītos starptautiskos revīzijas standartus.

70. Neierobežojot atbildību par ārpakalpojumu izmantošanu, iestāde var izmantot:

70.1. apvienotas revīzijas, ko organizē kopā ar citiem tā paša ārpakalpojumu sniedzēja klientiem un ko veic pati iestāde un klienti vai arī kāda to norīkota trešā persona, lai tādējādi efektīvāk izmantotu revīzijas resursus un samazinātu administratīvo slogu gan klientiem, gan arī ārpakalpojumu sniedzējam;

70.2. trešo personu izdotus sertifikātus un trešo personu sagatavotus revīzijas ziņojumus vai iekšējo revīziju ziņojumus, kurus ārpakalpojumu sniedzējs tai iesniedz.

71. Lai deleģētu ārpakalpojumu sniedzējam kritiski svarīgas vai nozīmīgas funkcijas, iestāde novērtē, vai šo noteikumu 70.2. apakšpunktā minētie trešo personu izdotie sertifikāti un sagatavotie ziņojumi ir atbilstoši un pietiekami, lai nodrošinātu normatīvo aktu prasību izpildi, bet nepaļaujas tikai uz šiem ziņojumiem.

72. Iestāde izmanto šo noteikumu 70.2. apakšpunktā minētos sertifikātus un revīzijas ziņojumus tikai tad, ja:

72.1. ir sagatavots atbilstošs revīzijas plāns attiecībā uz ārpakalpojumu sniedzējam deleģēto funkciju;

72.2. sertifikāti vai revīzijas ziņojumi attiecas uz sistēmām (piemēram, procesiem, lietotnēm, infrastruktūru, datu centriem) un kontroles pasākumiem, ko iestāde ir identificējusi, kā arī tie atbilst attiecīgajām normatīvo aktu prasībām;

72.3. pastāvīgi tiek rūpīgi izvērtēts sertifikācijas vai revīzijas ziņojumu saturs un tiek pārbaudīts, vai ziņojumi un sertifikāti nav novecojuši;

72.4. galvenās sistēmas un kontroles ir ietvertas sertifikācijas vai revīzijas ziņojuma turpmākajās redakcijās;

72.5. personai, kura izdod sertifikātus vai sagatavo revīzijas ziņojumus, ir atbilstoša kompetence un atļaujas;

72.6. sertifikāti tiek izdoti un revīzija tiek veikta saskaņā ar vispāratzītiem profesionālajiem standartiem un ietver būtisko kontroles pasākumu operatīvās efektivitātes pārbaudi;

72.7. tai ir līgumiskas tiesības pieprasīt, lai sertifikācijas vai revīzijas ziņojumu darbības jomas tiktu attiecinātas uz citām saistītajām sistēmām un kontrolēm. Šādu pieprasījumu par grozījumiem darbības jomā skaitam un biežumam ir jābūt samērīgam un leģitīmam no riska pārvaldības viedokļa;

72.8. tā saglabā tiesības pēc saviem ieskatiem veikt individuālas revīzijas, ja ārpakalpojumu sniedzējam ir deleģēta kritiski svarīga vai nozīmīga funkcija.

73. Iestāde, Latvijas Banka vai to pilnvarotās personas pienācīgi informē ārpakalpojumu sniedzēju par plānoto ārpakalpojumu sniedzēja apmeklējumu klātienē, izņemot gadījumus, kad tas nav iespējams ārkārtas vai krīzes situācijas dēļ.

74. Veicot revīziju pie tāda ārpakalpojumu sniedzēja, kurš sniedz ārpakalpojumus vairākiem klientiem, iestāde, Latvijas Banka vai to pilnvarotās personas nodrošina, lai tiktu novērsti vai mazināti riski, kas apdraud citu klientu darbības vidi (piemēram, pakalpojumu kvalitāti, datu pieejamību, konfidencialitāti).

75. Ja ārpakalpojumu izmantošanai ir augsts tehniskās sarežģītības līmenis, iestāde pārbauda, vai persona, kura veic revīziju, neatkarīgi no tā, vai šī persona ir iestādes iekšējais revidents vai revidentu vai ārēju revidentu grupa, kas rīkojas tās vārdā, ir piemērota un tai ir atbilstoša kvalifikācija un zināšanas, lai efektīvi veiktu attiecīgo revīziju vai novērtējumu. Tas pats attiecas uz jebkuru iestādes pārstāvi, kas pārskata trešo personu veikto sertifikāciju vai revīzijas, ko veic ārpakalpojumu sniedzēji.

76. Iestāde, izmantojot uz risku izvērtējumu balstītu pieeju, pastāvīgi uzrauga ārpakalpojumu sniedzēju darbību attiecībā uz jebkuru ārpakalpojumu līgumu, īpašu uzmanību pievēršot ārpakalpojumu sniedzējiem deleģētajām kritiski svarīgām vai nozīmīgām funkcijām, un nodrošina datu un informācijas pieejamību, integritāti un drošību. Ja ārpakalpojumu sniedzējam deleģētās funkcijas risks, veids vai apjoms ir būtiski mainījies, iestāde atkārtoti izvērtē šīs funkcijas kritisko svarīgumu vai nozīmīgumu atbilstoši šo noteikumu IV nodaļas prasībām.

77. Iestāde ārpakalpojumu izmantošanas uzraudzību un pārvaldību veic ar pienācīgu gādību, rūpību un kvalifikāciju.

78. Iestāde regulāri, bet ne retāk kā reizi gadā atbilstoši šo noteikumu IX nodaļā noteiktajām prasībām atjaunina veikto riska novērtējumu un periodiski ziņo iestādes pārvaldes institūcijām par riskiem, kas konstatēti attiecībā uz kritiski svarīgu vai nozīmīgu funkciju deleģēšanu ārpakalpojumu sniedzējiem.

79. Iestāde uzrauga un pārvalda iekšējo koncentrācijas risku, ko rada ārpakalpojumu izmantošana, ņemot vērā šo noteikumu IX nodaļas prasības.

80. Iestāde pastāvīgi uzrauga ārpakalpojumu izmantošanas atbilstību tās ārpakalpojumu politikā noteiktajām prasībām un kvalitātes standartiem, īpaši attiecībā uz ārpakalpojumu sniedzējiem deleģētajām kritiski svarīgām vai nozīmīgām funkcijām, un nodrošina:

80.1. ziņojumu saņemšanu no ārpakalpojumu sniedzējiem atbilstoši šo noteikumu 57.10. apakšpunkta prasībām;

80.2. ārpakalpojumu sniedzēju darbības rezultātu un saņemto ziņojumu novērtēšanu;

80.3. no ārpakalpojumu sniedzējiem saņemtās visas būtiskās informācijas, tai skaitā ziņojumu par darbības nepārtrauktības pasākumiem un pārbaudēm, izskatīšanu.

81. Ja iestāde saskaņā ar piemērojamajiem tiesību aktiem konstatē nepilnības ārpakalpojumu sniedzējam deleģētās funkcijas īstenošanā, īpaši gadījumos, kad ārpakalpojumu sniedzējs neizpilda tam deleģēto kritiski svarīgo vai nozīmīgo funkciju pietiekami efektīvi, tā veic atbilstošus korektīvos pasākumus un nepieciešamības gadījumā nekavējoties pārtrauc ārpakalpojumu līgumu.

82. Ja ārpakalpojumu sniedzējam tiek deleģētas kritiski svarīgas vai nozīmīgas funkcijas, iestāde sagatavo un dokumentē ārpakalpojuma izbeigšanas stratēģiju, tajā paredzot vismaz:

82.1. ārpakalpojumu līguma pārtraukšanas nosacījumus, iemeslus un iespējamās situācijas;

82.2. rīcību ārpakalpojumu sniedzēja pienākumu neizpildes gadījumā;

82.3. rīcību nodrošināto funkciju kvalitātes pasliktināšanās un faktisko vai potenciālo darbības traucējumu gadījumā, ko izraisa nepareiza vai neveiksmīga funkcijas nodrošināšana;

82.4. būtiskus riskus, kas saistīti ar funkcijas atbilstošu un pastāvīgu īstenošanu;

82.5. veicamās analīzes tvērumu un resursus, kas būtu nepieciešami ārpakalpojumu līguma pārtraukšanas īstenošanai, un nosakot, cik ilgā laikā to būtu iespējams veikt;

82.6. pilnvarotos darbiniekus un to pienākumus un resursus ārpakalpojuma izbeigšanas stratēģijas īstenošanas pārvaldībai un nepieciešamo darbību veikšanai;

82.7. kritērijus ārpakalpojumu sniedzējam deleģēto funkciju un nodoto datu pārņemšanai;

82.8. rādītājus, kurus izmanto ārpakalpojumu izmantošanas uzraudzībai, tai skaitā rādītāju vērtības, kas liecina par nepieņemamu ārpakalpojuma kvalitātes līmeni un norāda uz nepieciešamību izmantot ārpakalpojuma izbeigšanas stratēģiju.

83. Iestāde nodrošina, ka, pārtraucot nozīmīgu ārpakalpojumu līgumu, netiek radīti nepamatoti tās darbības traucējumi, ietekmēta tās atbilstība normatīvo aktu prasībām un tas nerada kaitējumu iestādes pakalpojumu sniegšanas nepārtrauktībai un kvalitātei. Lai to nodrošinātu, iestāde:

83.1. izstrādā un īsteno visaptverošu, dokumentētu un attiecīgajā gadījumā pietiekami pārbaudītu ārpakalpojuma izbeigšanas stratēģiju (piemēram, veic analīzi par iespējamajām izmaksām, ietekmi, nepieciešamajiem resursiem un laiku saistībā ar ārpakalpojumu sniedzēja nodrošinātās funkcijas nodošanu alternatīvam ārpakalpojumu sniedzējam);

83.2. nosaka alternatīvus risinājumus un izstrādā pārejas plānu, lai iestāde ārpakalpojumu sniedzējam deleģētās funkcijas un datus no ārpakalpojumu sniedzēja varētu nodot tālāk citam ārpakalpojumu sniedzējam vai pārņemt atpakaļ iestādē, vai veikt citus pasākumus, kas nodrošina kritiski svarīgu vai nozīmīgu funkciju vai darbību nepārtrauktu īstenošanu kontrolētā un pietiekami pārbaudītā veidā, ņemot vērā problēmas, kas var rasties datu atrašanās vietas dēļ, un veicot nepieciešamos pasākumus, lai nodrošinātu darbības nepārtrauktību pārejas posmā.

84. Kredītiestāde vismaz 30 darbdienas pirms nozīmīga ārpakalpojuma saņemšanas iesniedz Latvijas Bankai atbilstoši šo noteikumu 1. pielikumam sagatavotu rakstveida iesniegumu un tam pievieno:

84.1. ārpakalpojumu līguma kopiju;

84.2. ārpakalpojumu politiku un procedūras (ja tās jau iepriekš nav iesniegtas Latvijas Bankā);

84.3. citu informāciju, ko iestāde uzskata par nepieciešamu, lai pamatotu iestādes lēmumu deleģēt kritiski svarīgu vai nozīmīgu funkciju ārpakalpojumu sniedzējam.

85. Maksājumu iestāde un elektroniskās naudas iestāde nodrošina šo noteikumu 84. punktā minētās informācijas sagatavošanu un iesniegšanu Latvijas Bankai vismaz 30 dienas pirms nozīmīga ārpakalpojuma saņemšanas.

86. Iestāde vismaz 30 darbdienas pirms būtisku grozījumu nozīmīgu ārpakalpojumu līgumā spēkā stāšanās iesniedz Latvijas Bankai atbilstoši šo noteikumu 2. pielikumam sagatavotu rakstveida paziņojumu un tam pievieno:

86.1. grozījumus ārpakalpojumu līgumā;

86.2. grozījumus ārpakalpojumu politikā un procedūrās (ja tādi ir veikti un tie jau iepriekš nav iesniegti Latvijas Bankā);

86.3. citu informāciju, ko iestāde uzskata par nepieciešamu, lai pamatotu iestādes lēmumu veikt būtiskus grozījumus noslēgtajā nozīmīgu ārpakalpojumu līgumā.

87. Par būtiskiem uzskatāmi šādi grozījumi noslēgtajā nozīmīgu ārpakalpojumu līgumā:

87.1. ārpakalpojuma darbības jomas nozīmīga paplašināšana vai sašaurināšana;

87.2. ārpakalpojumu sniedzēja maiņa;

87.3. ārpakalpojuma sniegšanas tālāka deleģēšana.

88. Pamatojoties uz iestādes sniegto informāciju un ņemot vērā iestādes kritiski svarīgo vai nozīmīgo funkciju raksturu un sarežģītību, ārpakalpojumu sniedzēja kompetenci un tā stāvokli tirgū, Latvijas Banka novērtē plānotā nozīmīgā ārpakalpojuma atbilstību Kredītiestāžu likuma 10.¹ pantā vai Maksājumu pakalpojumu un elektroniskās naudas likuma 29. un 30. pantā un šajos noteikumos noteiktajām prasībām, kā arī Latvijas Bankas spēju veikt iestādes uzraudzību attiecībā uz ārpakalpojumu sniedzējam deleģēto funkciju.

89. Atzīt par spēku zaudējušiem Finanšu un kapitāla tirgus komisijas 2021. gada 6. jūlija normatīvos noteikumus Nr. 84 "Normatīvie noteikumi par ārpakalpojumu izmantošanu" (Latvijas Vēstnesis, 2021, Nr. 131).

90. Lai noteiktu, vai funkcijas, kuras deleģētas ārpakalpojumu sniedzējiem līdz šo noteikumu spēkā stāšanās dienai, ir kritiski svarīgas vai nozīmīgas, maksājumu iestāde un elektroniskās naudas iestāde līdz 2025. gada 1. martam veic šo funkciju novērtējumu atbilstoši šo noteikumu IV nodaļas prasībām.

91. Maksājumu iestāde un elektroniskās naudas iestāde atbilstoši šo noteikumu VIII nodaļas prasībām izveido ārpakalpojumu reģistru un līdz 2025. gada 1. martam iesniedz to Latvijas Bankai.

92. Maksājumu iestāde un elektroniskās naudas iestāde līdz 2025. gada 1. maijam nodrošina nozīmīgu ārpakalpojumu līgumu atbilstību šo noteikumu XI nodaļā noteiktajām prasībām.

93. Noteikumi stājas spēkā 2025. gada 1. janvārī.

Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Banku iestādes 2019. gada 25. februāra pamatnostādnēm EBA/GL/2019/02 "Pamatnostādnes par ārpakalpojumu izmantošanu".

Latvijas Bankas prezidents M. Kazāks

1. pielikums
Latvijas Bankas 2024. gada 16. decembra
noteikumiem Nr. 374

Latvijas Bankas prezidents M. Kazāks

2. pielikums
Latvijas Bankas 2024. gada 16. decembra
noteikumiem Nr. 374

Latvijas Bankas prezidents M. Kazāks