Działalność gospodarcza

Komunikat KNF w sprawie chmury obliczeniowej

W styczniu br. Komisja Nadzoru Finansowego (dalej jako: „KNF”), wydała długo wyczekiwany komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Jak czytamy w jego treści – postęp technologiczny w obszarze chmury obliczeniowej powoduje wątpliwości ze strony podmiotów nadzorowanych w zakresie możliwości stosowania tej technologii oraz – w przypadku dopuszczalności takiego rozwiązania – zasad dokonywania outsourcingu, w szczególności podczas przetwarzania informacji prawnie chronionych. W marcu, w związku z panującą na terenie kraju epidemią COIVUD-19, KNF zmieniła termin dostosowania się do wymagań określonych w komunikacie – z 1 sierpnia 2020 r. na 1 listopada 2020 r. Zatem już za kilka dni zaczną obowiązywać nowe wymagania dla podmiotów nadzorowanych..

Podmioty nadzorowane

Komunikat z dnia 23 stycznia 2020 r. skierowany jest do wszystkich podmiotów, nad którymi nadzór sprawuje KNF zgodnie z ustawą z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U.2020.180 tj. z dnia 2020.02.05).  W szczególności chodzi o banki, zakłady ubezpieczeń, instytucje płatnicze, firmy inwestycyjne, towarzystwa emerytalne oraz towarzystwa funduszy inwestycyjnych. Katalog został szczegółowo określony ww. ustawie w art. 1 ust. 2 pkt. 1) – 8).

Chmury obliczeniowe

KNF zmodyfikowała kluczową definicję chmury obliczeniowej, która aktualnie brzmi następująco:

„pula współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy”.

Zostały także wyodrębnione różne rodzaje chmur:

  • chmura obliczeniowa publiczna – dostępna do użytku publicznego, będąca w posiadaniu lub bezpośrednio zarządzana przez dostawcę usług chmury obliczeniowej;
  • chmura obliczeniowa prywatna – dostępna do wyłącznego użytku jednego podmiotu, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot;
  • chmura obliczeniowa hybrydowa – składająca się z połączenia dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej), która poprzez standaryzację użycia lub odpowiednią technologię pozwala na przenoszenie czynności przetwarzania informacji pomiędzy chmurami obliczeniowymi, które ją tworzą;
  • chmura obliczeniowa społecznościowa – dostępna do wyłącznego użytku grupy podmiotów powiązanych kapitałowo lub na mocy wspólnej umowy o współpracy.

Najważniejsze zmiany

KNF wskazała, iż wydanie nowego komunikatu wiąże się dostrzeżeniem braków standaryzacji w podejściu do korzystania z usług przetwarzania w chmurze obliczeniowej w odniesieniu do tych samych kategorii informacji przez podmioty nadzorowane sektora finansowego. Taka sytuacja, zdaniem Komisji, może spowodować istotne różnice w ocenie ryzyka technologicznego, a tym samym zwiększyć ryzyko sektorowe. Komisja dodała także, że usługa przetwarzania informacji w chmurze obliczeniowej ma charakter powierzenia czynności przetwarzania i – zależnie od kategorii przetwarzanych informacji oraz faktycznie realizowanych czynności przetwarzania – może być traktowana jako outsourcing chmury obliczeniowej lub outsourcing szczególny chmury obliczeniowej.

W związku z powyższym, komunikat organu doprecyzowuje w jakich okolicznościach podmioty nadzorowane powinny stosować wytyczne, a mianowicie:

  • w przypadku outsourcingu do chmury publicznej lub hybrydowej, gdy w ramach usługi chmurowej przetwarzane są informacje prawnie chronione (w szczególności dane zawierające tajemnice bankową), lub
  • gdy brak lub przerwa w wykonywaniu powierzonych czynności lub funkcji generuje istotne ryzyko dla podmiotu nadzorowanego.

Informacjami prawnie chronionymi są informacje związane z tajemnicami sektora finansowego wymienionymi w następujących ustawach sektorowych, tj.:

  • ustawie z 29 sierpnia 1997 r. Prawo bankowe;
  • ustawie z 29 lipca 2005 r. o obrocie instrumentami finansowymi;
  • ustawie z 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi;
  • ustawie z 26 października 2000 r. o giełdach towarowych;
  • ustawie z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej;
  • ustawie z 15 grudnia 2017 r. o dystrybucji ubezpieczeń;
  • ustawie z 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych;
  • ustawie z 4 października 2018 r. o pracowniczych planach kapitałowych;
  • ustawie z 19 sierpnia 2011 r. o usługach płatniczych;
  • ustawie z 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych.

Co więcej, KNF wprost wskazała, że komunikatu nie trzeba stosować na etapie projektowania i eksploatacji środowisk testowych lub rozwojowych, o ile nie dochodzi tam do przetwarzania informacji prawnie chronionych.

Kolejna ważną informacją, która znalazła się w komunikacie jest rekomendacja KNF dotycząca lokalizacji centrów przetwarzania danych (dalej jako: „CPD”). Komisja wskazuje, aby znajdowały się one na terytorium państw należących do Europejskiego Obszaru Gospodarczego (EOG), a ponadto, aby operatorzy usług kluczowych oraz operatorzy infrastruktury krytycznej, w pierwszej kolejności wykorzystywali CPD na terytorium Polski, o ile oferowane warunki umowne, ekonomiczne, operacyjne, SLA czy funkcjonalne nie są gorsze od CPD znajdujących się poza terytorium Polski.

Komisja zwróciła także uwagę na wymogi techniczne i organizacyjne.  Według zaleceń KNF informacje prawnie chronione powinny być zawsze szyfrowane in transit oraz at rest, gdyż w przypadku braku takiego szyfrowania może dojść do ujawnienia istotnych informacji. Uszczegółowione zostały także zasady dotyczące monitoringu środowiska przetwarzania informacji w chmurze, w tym zbierania, zabezpieczania oraz dokonywania przeglądów logów.

Terminy

Dla podmiotów nadzorowanych, które korzystają z usług chmury obliczeniowej, termin dostosowania się do wymagań komunikatu  został wyznaczony na dzień  1 listopada 2020 r., zaś  dla podmiotów nadzorowanych, które zamierzają korzystać z usług chmury obliczeniowej, został wyznaczony obowiązek informowania o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z usługi.

Autorzy:

Marta Rabe-Kozłowska

Marta Rabe-Kozłowska

Radca Prawny

Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz Legal English.

Autorzy:

Magdalena Wietrak-Smura

Magdalena Wietrak-Smura

Prawnik

Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60

Magdalna Wietrak-Smura ...