Zakres podmiotowo-przedmiotowy zastosowania komunikatu Urzędu KNF dotyczącego przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej
Monitor Prawa Bankowego 2022/09 Wrzesień
Przedmiotem publikacji jest omówienie zakresu zastosowania postanowień komunikatu Urzędu Komisji Nadzoru Finansowego dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z 23.01.2020 r.[1]. Analiza obejmuje identyfikację podmiotów zobowiązanych do stosowania Komunikatu, a także zakres czynności nim objętych.
Dominika Gałus
Chmura obliczeniowa definiowana jest jako model umożliwiający, na żądanie, dostęp za pośrednictwem sieci do dzielonych zasobów obliczeniowych (w postaci sieci, serwerów, pamięci masowych, aplikacji i usług), który nie wymaga dokonywania absorbujących czynności zarządczych przez dostawcę[2]. Dostrzegając znaczenie innowacyjnych rozwiązań w działalności regulowanej na rynku finansowym, Urząd KNF wydał komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. W Komunikacie przedstawiono rozumienie przez organ nadzoru przepisów powszechnie obowiązujących dotyczących stosowania chmury obliczeniowej oraz zasad dokonywania outsourcingu, w szczególności podczas przetwarzania informacji prawnie chronionych.
Ratio wydania Komunikatu było wyznaczenie modelu referencyjnego odnośnie do przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej. Prowadzić to ma do ograniczania ryzyka technologicznego (w zakresie ochrony przetwarzania informacji poufnych)[3] na poziomie poszczególnych podmiotów nadzorowanych, a także ryzyka systemowego związanego z przetwarzaniem tych danych na rynku finansowym. Jak zauważył Urząd KNF w Komunikacie: „powszechne korzystanie z usług chmury obliczeniowej przez podmioty nadzorowane może powodować ryzyko koncentracji przetwarzania informacji prawnie chronionych znacznej części sektora finansowego fizycznie w tych samych obiektach (centrach przetwarzania danych) lub w ramach współpracy podmiotów nadzorowanych z ograniczoną liczbą dostawców usług chmury obliczeniowej. Dodatkowo przetwarzanie informacji prawnie chronionych w chmurze obliczeniowej generuje ryzyka związane z ochroną przetwarzanych informacji, niezależnie od charakteru procesu outsourcingowego”[4].
Celem niniejszej publikacji jest przedstawienie zakresu podmiotowego oraz przedmiotowego Komunikatu. Kwestia, czy dany podmiot nadzorowany powinien stosować postanowienia Komunikatu do poszczególnych umów, budzi w praktyce istotne wątpliwości. Mając na uwadze potencjalne skutki takiej kwalifikacji (np. konieczność analizowania treści zawieranych umów czy obowiązek notyfikacyjny względem KNF), warto pochylić się nad określeniem zakresu podmiotowo-przedmiotowego Komunikatu.
Charakter prawny Komunikatu
Komunikat Urzędu KNF nie stanowi źródła prawa[5]. Jest zbiorem wytycznych odnoszących się do przetwarzania informacji w chmurze obliczeniowej, a jego celem jest określenie jednolitego standardu dla podmiotów nadzorowanych z rynku finansowego[6] (tj. sektora kapitałowego, bankowego i ubezpieczeniowego, prowadzących działalność w ramach polskiego rynku finansowego)[7]. Komunikat jako prawna forma działania organu nadzoru nad rynkiem finansowym nie może stanowić samoistnej podstawy prawnej decyzji administracyjnej o nałożeniu sankcji na podmiot nadzorowany. Postanowienia Komunikatu nie podlegają kwalifikacji jako akty prawa ujęte w konstytucyjnym katalogu obowiązujących powszechnie źródeł prawa czy aktów prawa wewnętrznego[8]. Nie stanowią one norm prawnych, lecz pozaprawne zbiory norm postępowania (tzw. soft-law[9 (...)