Przetwarzanie informacji w chmurze obliczeniowej

Monitor Prawa Bankowego 2022/07-08 Lipiec - Sierpień

Wyjaśnienia Urzędu KNF z 18 października 2021 r. oraz 7 kwietnia 2022 r.

Jak rozumieć wymóg określenia w umowie podmiotu nadzorowanego z dostawcą usług chmury obliczeniowej zakresu odpowiedzialności za szkody wyrządzone klientom podmiotu nadzorowanego, zgodnie z wymaganiami prawa obowiązującego podmiot nadzorowany – pkt VII. 4.1.g) Komunikatu?

Postanowienia umowy dotyczące zakresu odpowiedzialności za szkody wyrządzone klientom podmiotu nadzorowanego powinny być jasne i nie budzić wątpliwości interpretacyjnych. W tym zakresie dobrą, a jednocześnie wystarczającą praktyką jest włączenie do umowy odniesienia do poszczególnych przepisów prawa albo inkorporowanie treści konkretnych przepisów prawa – regulujących zasady i zakres odpowiedzialności za szkody wyrządzone klientom przez podmiot nadzorowany jako postanowień umownych.

Czy podmiot powinien posiadać opinię prawną w przedmiocie oceny umowy pomiędzy dostawcą usług chmury obliczeniowej a podmiotem nadzorowanym, w przypadku gdy prawem właściwym umowy jest prawo jednego z państw Unii Europejskiej?

Komunikat nie przewiduje wymogu posiadania opinii prawnej, iż zawarta umowa spełnia wymagania prawa obowiązujące podmiot nadzorowany w przypadku wyboru prawa właściwego państwa członkowskiego UE. Brak jest również obowiązku posiadania opinii prawnej co do spełnienia przez wszystkie postanowienia umowy wymagań Komunikatu.  Niemniej jednak podmiot nadzorowany podpisując umowę, w przypadku której prawem właściwym jest prawo jednego z państw członkowskich Unii Europejskiej, powinien mieć świadomość otoczenia prawnego, w jakim umowa ta będzie funkcjonować. W ocenie UKNF dobrą praktyką jest, aby każda umowa zawierana z dostawcą zewnętrznym była poprzedzona stosowną analizą w zakresie zgodności formalnoprawnej przez odpowiednie komórki organizacyjne podmiotu nadzorowanego.

Jak rozumieć wymóg zawarcia w umowie informacji dotyczącej źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług chmury obliczeniowej (w tym zmianach o charakterze technicznym): Punkt VII.4.1.j) Komunikatu?

Rekomendowane jest uwzględnienie w umowie z dostawcą postanowień dotyczących źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług, tak aby podmiot nadzorowany mógł ocenić i ewentualnie dostosować swoją działalność do planowanych zmian albo wypowiedzieć umowę w przypadku braku akceptacji zmian. Celem jest ograniczenie ryzyka jednostronnej zmiany warunków technicznych korzystania z usługi (jej parametrów lub zasad konfiguracji), o którym mowa w pkt VI.2.2) b) Komunikatu.

Sposobem zawarcia w umowie informacji dotyczącej źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług chmury obliczeniowej może być wskazanie w umowie np. linku do strony internetowej, na której zamieszczane są zaktualizowane informacje o planowanych zmianach w świadczonych przez dostawcę usługach chmury obliczeniowej. Źródłem autoryzowanych informacji jest np. dostęp podmiotu nadzorowanego do portalu internetowego prowadzonego przez dostawcę usług chmury obliczeniowej, zawierającego informacje o planowanych zmianach.

Dobrą praktyką jest wskazanie w umowie na obowiązek dostawcy usług informowania podmiotu nadzorowanego o zmianach, jak też określenie, z jakim wyprzedzeniem podmiot nadzorowany powinien być informowany o planowanych zmianach, w szczególności tych o charakterze technologicznym, mogących mieć znaczący wpływ na bezpieczeństwo oraz sposób świadczenia usługi. Wśród dobrych praktyk wymienić można również wyznaczenie, z uwzględnieniem rodzaju przetwarzanych informacji, osoby odpowiedzialnej za bieżący monitoring oraz współpracę z dostawcą usługi.

Czy przetwarzanie informacji prawnie chronionych w chmurze obliczeniowej publicznej lub hybrydowej przez firmę audytorską/biegłego rewidenta, udostępnionych przez podmiot nadzorowany na potrzeby przeprowadzenia badania lub przeglądu sprawozdań finansowych podmiotu nadzorowanego, stanowi outsourcing w my (...)