Zakres podmiotowo-przedmiotowy zastosowania komunikatu Urzędu KNF dotyczącego przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej

Monitor Prawa Bankowego 2022/09 Wrzesień

Jak cytować

D. Gałus, Zakres podmiotowo-przedmiotowy zastosowania komunikatu Urzędu KNF dotyczącego przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej, Monitor Prawa Bankowego 2022, nr 9, s. 83-94

Przedmiotem publikacji jest omówienie zakresu zastosowania postanowień komunikatu Urzędu Komisji Nadzoru Finansowego dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z 23.01.2020 r.[1]. Analiza obejmuje identyfikację podmiotów zobowiązanych do stosowania Komunikatu, a także zakres czynności nim objętych.

Dominika Gałus

Chmura obliczeniowa definiowana jest jako model umożliwiający, na żądanie, dostęp za pośrednictwem sieci do dzielonych zasobów obliczeniowych (w postaci sieci, serwerów, pamięci masowych, aplikacji i usług), który nie wymaga dokonywania absorbujących czynności zarządczych przez dostawcę[2]. Dostrzegając znaczenie innowacyjnych rozwiązań w działalności regulowanej na rynku finansowym, Urząd KNF wydał komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. W Komunikacie przedstawiono rozumienie przez organ nadzoru przepisów powszechnie obowiązujących dotyczących stosowania chmury obliczeniowej oraz zasad dokonywania outsourcingu, w szczególności podczas przetwarzania informacji prawnie chronionych.

Ratio wydania Komunikatu było wyznaczenie modelu referencyjnego odnośnie do przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej. Prowadzić to ma do ograniczania ryzyka technologicznego (w zakresie ochrony przetwarzania informacji poufnych)[3] na poziomie poszczególnych podmiotów nadzorowanych, a także ryzyka systemowego związanego z przetwarzaniem tych danych na rynku finansowym. Jak zauważył Urząd KNF w Komunikacie: „powszechne korzystanie z usług chmury obliczeniowej przez podmioty nadzorowane może powodować ryzyko koncentracji przetwarzania informacji prawnie chronionych znacznej części sektora finansowego fizycznie w tych samych obiektach (centrach przetwarzania danych) lub w ramach współpracy podmiotów nadzorowanych z ograniczoną liczbą dostawców usług chmury obliczeniowej. Dodatkowo przetwarzanie informacji prawnie chronionych w chmurze obliczeniowej generuje ryzyka związane z ochroną przetwarzanych informacji, niezależnie od charakteru procesu outsourcingowego”[4].

Celem niniejszej publikacji jest przedstawienie zakresu podmiotowego oraz przedmiotowego Komunikatu. Kwestia, czy dany podmiot nadzorowany powinien stosować postanowienia Komunikatu do poszczególnych umów, budzi w praktyce istotne wątpliwości. Mając na uwadze potencjalne skutki takiej kwalifikacji (np. konieczność analizowania treści zawieranych umów czy obowiązek notyfikacyjny względem KNF), warto pochylić się nad określeniem zakresu podmiotowo-przedmiotowego Komunikatu.

Charakter prawny Komunikatu

Komunikat Urzędu KNF nie stanowi źródła prawa[5]. Jest zbiorem wytycznych odnoszących się do przetwarzania informacji w chmurze obliczeniowej, a jego celem jest określenie jednolitego standardu dla podmiotów nadzorowanych z rynku finansowego[6] (tj. sektora kapitałowego, bankowego i ubezpieczeniowego, prowadzących działalność w ramach polskiego rynku finansowego)[7]. Komunikat jako prawna forma działania organu nadzoru nad rynkiem finansowym nie może stanowić samoistnej podstawy prawnej decyzji administracyjnej o nałożeniu sankcji na podmiot nadzorowany. Postanowienia Komunikatu nie podlegają kwalifikacji jako akty prawa ujęte w konstytucyjnym katalogu obowiązujących powszechnie źródeł prawa czy aktów prawa wewnętrznego[8]. Nie stanowią one norm prawnych, lecz pozaprawne zbiory norm postępowania (tzw. soft-law[9]). Naruszenie lub niezastosowanie się przez podmiot nadzorowany do postanowień Komunikatu nie może w sposób bezpośredni stanowić podstawy prawnej do wykorzystania przez organ nadzoru instrumentu odpowiedzialności administracyjnej.

Każdy podmiot nadzorowany, o którym mowa w art. 1 ust. 2 pkt 1-8 u.n.r.f.[10], zobowiązany jest w swojej działalności do zapewnienia zgodności przetwarzania informacji w chmurze obliczeniowej (publicznej lub hybrydowej) z obowiązującymi przepisami prawa. KNF może podjąć działania nakierowane na sankcjonowanie podmiotu nadzorowanego, o ile wykaże, że dopuścił się on naruszenia przepisu powszechnie obowiązującego, które stanowiło jednocześnie uchybienie wymaganiu określonemu w Komunikacie.

Wszelkie ograniczenia wolności gospodarczej czy swobody kontraktowania powinny być wprowadzane wyłącznie przez ustawodawcę w przepisach ustawy. Mając na uwadze fakt, iż Komunikat ma charakter niewiążący, zaś jego postanowienia w istocie ograniczają swobodę podmiotów nadzorowanych odnośnie do zawierania umów dotyczących chmury obliczeniowej (swobodę prowadzenia działalności)[11], postulować należy dokonywanie wykładni postanowień Komunikatu w sposób ścisły[12]. W rezultacie wszelkie wątpliwości odnoszące się do stosowania (albo nie) postanowień Komunikatu należy rozpatrywać in favorem ich niestosowania.

Zakres podmiotowy stosowania Komunikatu

Podmiotami, które mają obowi� (...)

Nowe zasady wprowadzone Rekomendacją dystrybucyjną KNF i ich wpływ na bancassurance

Implementacja dyrektywy NIS2 w Polsce – nowe obowiązki z zakresu cyberbezpieczeństwa

Kredyt konsumencki 2.0.? – w oczekiwaniu na nową ustawę