W styczniu br. Komisja Nadzoru Finansowego (dalej jako: „KNF”), wydała długo wyczekiwany komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Jak czytamy w jego treści – postęp technologiczny w obszarze chmury obliczeniowej powoduje wątpliwości ze strony podmiotów nadzorowanych w zakresie możliwości stosowania tej technologii oraz – w przypadku dopuszczalności takiego rozwiązania – zasad dokonywania outsourcingu, w szczególności podczas przetwarzania informacji prawnie chronionych. W marcu, w związku z panującą na terenie kraju epidemią COIVUD-19, KNF zmieniła termin dostosowania się do wymagań określonych w komunikacie – z 1 sierpnia 2020 r. na 1 listopada 2020 r. Zatem już za kilka dni zaczną obowiązywać nowe wymagania dla podmiotów nadzorowanych..
Podmioty nadzorowane
Komunikat z dnia 23 stycznia 2020 r. skierowany jest do wszystkich podmiotów, nad którymi nadzór sprawuje KNF zgodnie z ustawą z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U.2020.180 tj. z dnia 2020.02.05). W szczególności chodzi o banki, zakłady ubezpieczeń, instytucje płatnicze, firmy inwestycyjne, towarzystwa emerytalne oraz towarzystwa funduszy inwestycyjnych. Katalog został szczegółowo określony ww. ustawie w art. 1 ust. 2 pkt. 1) – 8).
Chmury obliczeniowe
KNF zmodyfikowała kluczową definicję chmury obliczeniowej, która aktualnie brzmi następująco:
„pula współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy”.
Zostały także wyodrębnione różne rodzaje chmur:
- chmura obliczeniowa publiczna – dostępna do użytku publicznego, będąca w posiadaniu lub bezpośrednio zarządzana przez dostawcę usług chmury obliczeniowej;
- chmura obliczeniowa prywatna – dostępna do wyłącznego użytku jednego podmiotu, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot;
- chmura obliczeniowa hybrydowa – składająca się z połączenia dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej), która poprzez standaryzację użycia lub odpowiednią technologię pozwala na przenoszenie czynności przetwarzania informacji pomiędzy chmurami obliczeniowymi, które ją tworzą;
- chmura obliczeniowa społecznościowa – dostępna do wyłącznego użytku grupy podmiotów powiązanych kapitałowo lub na mocy wspólnej umowy o współpracy.
Najważniejsze zmiany
KNF wskazała, iż wydanie nowego komunikatu wiąże się dostrzeżeniem braków standaryzacji w podejściu do korzystania z usług przetwarzania w chmurze obliczeniowej w odniesieniu do tych samych kategorii informacji przez podmioty nadzorowane sektora finansowego. Taka sytuacja, zdaniem Komisji, może spowodować istotne różnice w ocenie ryzyka technologicznego, a tym samym zwiększyć ryzyko sektorowe. Komisja dodała także, że usługa przetwarzania informacji w chmurze obliczeniowej ma charakter powierzenia czynności przetwarzania i – zależnie od kategorii przetwarzanych informacji oraz faktycznie realizowanych czynności przetwarzania – może być traktowana jako outsourcing chmury obliczeniowej lub outsourcing szczególny chmury obliczeniowej.
W związku z powyższym, komunikat organu doprecyzowuje w jakich okolicznościach podmioty nadzorowane powinny stosować wytyczne, a mianowicie:
- w przypadku outsourcingu do chmury publicznej lub hybrydowej, gdy w ramach usługi chmurowej przetwarzane są informacje prawnie chronione (w szczególności dane zawierające tajemnice bankową), lub
- gdy brak lub przerwa w wykonywaniu powierzonych czynności lub funkcji generuje istotne ryzyko dla podmiotu nadzorowanego.
Informacjami prawnie chronionymi są informacje związane z tajemnicami sektora finansowego wymienionymi w następujących ustawach sektorowych, tj.:
- ustawie z 29 sierpnia 1997 r. Prawo bankowe;
- ustawie z 29 lipca 2005 r. o obrocie instrumentami finansowymi;
- ustawie z 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi;
- ustawie z 26 października 2000 r. o giełdach towarowych;
- ustawie z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej;
- ustawie z 15 grudnia 2017 r. o dystrybucji ubezpieczeń;
- ustawie z 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych;
- ustawie z 4 października 2018 r. o pracowniczych planach kapitałowych;
- ustawie z 19 sierpnia 2011 r. o usługach płatniczych;
- ustawie z 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych.
Co więcej, KNF wprost wskazała, że komunikatu nie trzeba stosować na etapie projektowania i eksploatacji środowisk testowych lub rozwojowych, o ile nie dochodzi tam do przetwarzania informacji prawnie chronionych.
Kolejna ważną informacją, która znalazła się w komunikacie jest rekomendacja KNF dotycząca lokalizacji centrów przetwarzania danych (dalej jako: „CPD”). Komisja wskazuje, aby znajdowały się one na terytorium państw należących do Europejskiego Obszaru Gospodarczego (EOG), a ponadto, aby operatorzy usług kluczowych oraz operatorzy infrastruktury krytycznej, w pierwszej kolejności wykorzystywali CPD na terytorium Polski, o ile oferowane warunki umowne, ekonomiczne, operacyjne, SLA czy funkcjonalne nie są gorsze od CPD znajdujących się poza terytorium Polski.
Komisja zwróciła także uwagę na wymogi techniczne i organizacyjne. Według zaleceń KNF informacje prawnie chronione powinny być zawsze szyfrowane in transit oraz at rest, gdyż w przypadku braku takiego szyfrowania może dojść do ujawnienia istotnych informacji. Uszczegółowione zostały także zasady dotyczące monitoringu środowiska przetwarzania informacji w chmurze, w tym zbierania, zabezpieczania oraz dokonywania przeglądów logów.
Terminy
Dla podmiotów nadzorowanych, które korzystają z usług chmury obliczeniowej, termin dostosowania się do wymagań komunikatu został wyznaczony na dzień 1 listopada 2020 r., zaś dla podmiotów nadzorowanych, które zamierzają korzystać z usług chmury obliczeniowej, został wyznaczony obowiązek informowania o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z usługi.
Autorzy: |
Marta Rabe-Kozłowska
Radca Prawny
Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz Legal English.
Autorzy: |
Magdalena Wietrak-Smura
Prawnik
Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60
Magdalna Wietrak-Smura ...