Przetwarzanie informacji w chmurze obliczeniowej

Monitor Prawa Bankowego 2022/07-08 Lipiec - Sierpień

Jak rozumieć wymóg określenia w umowie podmiotu nadzorowanego z dostawcą usług chmury obliczeniowej zakresu odpowiedzialności za szkody wyrządzone klientom podmiotu nadzorowanego, zgodnie z wymaganiami prawa obowiązującego podmiot nadzorowany – pkt VII. 4.1.g) Komunikatu?

Postanowienia umowy dotyczące zakresu odpowiedzialności za szkody wyrządzone klientom podmiotu nadzorowanego powinny być jasne i nie budzić wątpliwości interpretacyjnych. W tym zakresie dobrą, a jednocześnie wystarczającą praktyką jest włączenie do umowy odniesienia do poszczególnych przepisów prawa albo inkorporowanie treści konkretnych przepisów prawa – regulujących zasady i zakres odpowiedzialności za szkody wyrządzone klientom przez podmiot nadzorowany jako postanowień umownych.

Czy podmiot powinien posiadać opinię prawną w przedmiocie oceny umowy pomiędzy dostawcą usług chmury obliczeniowej a podmiotem nadzorowanym, w przypadku gdy prawem właściwym umowy jest prawo jednego z państw Unii Europejskiej?

Komunikat nie przewiduje wymogu posiadania opinii prawnej, iż zawarta umowa spełnia wymagania prawa obowiązujące podmiot nadzorowany w przypadku wyboru prawa właściwego państwa członkowskiego UE. Brak jest również obowiązku posiadania opinii prawnej co do spełnienia przez wszystkie postanowienia umowy wymagań Komunikatu.  Niemniej jednak podmiot nadzorowany podpisując umowę, w przypadku której prawem właściwym jest prawo jednego z państw członkowskich Unii Europejskiej, powinien mieć świadomość otoczenia prawnego, w jakim umowa ta będzie funkcjonować. W ocenie UKNF dobrą praktyką jest, aby każda umowa zawierana z dostawcą zewnętrznym była poprzedzona stosowną analizą w zakresie zgodności formalnoprawnej przez odpowiednie komórki organizacyjne podmiotu nadzorowanego.

Jak rozumieć wymóg zawarcia w umowie informacji dotyczącej źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług chmury obliczeniowej (w tym zmianach o charakterze technicznym): Punkt VII.4.1.j) Komunikatu?

Rekomendowane jest uwzględnienie w umowie z dostawcą postanowień dotyczących źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług, tak aby podmiot nadzorowany mógł ocenić i ewentualnie dostosować swoją działalność do planowanych zmian albo wypowiedzieć umowę w przypadku braku akceptacji zmian. Celem jest ograniczenie ryzyka jednostronnej zmiany warunków technicznych korzystania z usługi (jej parametrów lub zasad konfiguracji), o którym mowa w pkt VI.2.2) b) Komunikatu.

Sposobem zawarcia w umowie informacji dotyczącej źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług chmury obliczeniowej może być wskazanie w umowie np. linku do strony internetowej, na której zamieszczane są zaktualizowane informacje o planowanych zmianach w świadczonych przez dostawcę usługach chmury obliczeniowej. Źródłem autoryzowanych informacji jest np. dostęp podmiotu nadzorowanego do portalu internetowego prowadzonego przez dostawcę usług chmury obliczeniowej, zawierającego informacje o planowanych zmianach.

Dobrą praktyką jest wskazanie w umowie na obowiązek dostawcy usług informowania podmiotu nadzorowanego o zmianach, jak też określenie, z jakim wyprzedzeniem podmiot nadzorowany powinien być informowany o planowanych zmianach, w szczególności tych o charakterze technologicznym, mogących mieć znaczący wpływ na bezpieczeństwo oraz sposób świadczenia usługi. Wśród dobrych praktyk wymienić można również wyznaczenie, z uwzględnieniem rodzaju przetwarzanych informacji, osoby odpowiedzialnej za bieżący monitoring oraz współpracę z dostawcą usługi.

Czy przetwarzanie informacji prawnie chronionych w chmurze obliczeniowej publicznej lub hybrydowej przez firmę audytorską/biegłego rewidenta, udostępnionych przez podmiot nadzorowany na potrzeby przeprowadzenia badania lub przeglądu sprawozdań finansowych podmiotu nadzorowanego, stanowi outsourcing w myśl przepisów Komunikatu?

Przepisy sektorowe rynku finansowego regulują sytuacje przekazania informacji stanowiących tajemnicę sektorową poszczególnym grupom podmiotów lub ze względu na cel przekazania tych informacji. Wykonywanie przez biegłego rewidenta badania sprawozdania finansowego odbywa się w wykonaniu obowiązków ustawowych, o których mowa przykładowo w art. 134 ustawy - Prawo bankowe.

Przykładowo, zgodnie z art. 105 ust. 1 pkt 2 lit. i ustawy – Prawo bankowe bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie na żądanie biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na podstawie zawartej z bankiem umowy.

Przetwarzanie informacji prawnie chronionych w chmurze obliczeniowej publicznej lub hybrydowej przez firmę audytorską/biegłego rewidenta, udostępnionych przez podmiot nadzorowany na potrzeby przeprowadzenia badania lub przeglądu sprawozdań finansowych podmiotu nadzorowanego, nie stanowi zatem outsourcingu w rozumieniu Komunikatu.

Notyfikacja: Czy wymagane jest zgłoszenie do UKNF zaprzestania przetwarzania informacji w chmurze obliczeniowej?

Na gruncie Komunikatu nie jest wymagane zgłoszenie do UKNF zaprzestania przetwarzania informacji w chmurze obliczeniowej. Punkt VIII Komunikatu określa zasady informowania UKNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej, nie zaś o zaprzestaniu przetwarzania informacji w chmurze obliczeniowej.

Notyfikacja: Czy wymagane jest zgłoszenie do UKNF zaprzestania wykorzystywania zgłoszonej wcześniej usługi chmury obliczeniowej?

Zaprzestanie wykorzystywania usługi chmury obliczeniowej zgłoszone wcześniej do UKNF nie podlega obowiązkowi notyfikacji do UKNF.

W przypadkach outsourcingu szczególnego chmury obliczeniowej lub przetwarzania informacji prawnie chronionej, podmiot n (...)