Pytania i odpowiedzi (Q&A) w zakresie stosowania Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej - Komisja Nadzoru Finansowego

Zakres podmiotowy stosowania Komunikatu jest tożsamy z zakresem nadzoru nad rynkiem finansowym sprawowanym przez Komisję Nadzoru Finansowego (dalej „Komisja”) zdefiniowanym w art. 1 ust. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U. z 2020 r. poz. 180, ze zm., dalej: „Ustawa o nadzorze”).

W przypadku przedmiotowego zakresu Komunikatu, podmiot nadzorowany powinien określić – w odniesieniu do każdej planowanej lub już wykorzystywanej usługi chmury obliczeniowej – czy:

1. przetwarzane są informacje prawnie chronione, oraz czy

2. czynność przetwarzania może być definiowana jako outsourcing szczególny chmury obliczeniowej zgodnie z definicją outsourcingu szczególnego zawartą w Komunikacie.

Istnieje również obszar działalności podmiotów nadzorowanych nieobjęty zakresem przedmiotowym określonym przez ustawy wskazane w art. 1 Ustawy o nadzorze. 

Obowiązek zapewnienia stosowania się do Komunikatu spoczywa na podmiotach nadzorowanych. Oznacza to, że jeżeli podmiot nadzorowany powierza przetwarzanie informacji określonych w I.1.2 Komunikatu lub zachodzi outsourcing szczególny zgodnie z definicją podaną w Komunikacie, to postanowienia Komunikatu będą miały zastosowanie. Obowiązek zastosowania Komunikatu nie zachodzi w przypadku innego niż umownego przekazania informacji. Brak obowiązku stosowania Komunikatu nie wyklucza zastosowania standardów w nim wymienionych do innych niż umowne formy przekazania informacji.

Zgodnie z art. 5 ustawy z dnia 29 lipca 2005 r. o nadzorze nad rynkiem kapitałowym (t.j. Dz.U. z 2020 r. poz. 1400, dalej: „Ustawa o nadzorze nad rynkiem kapitałowym”): „Nadzorowi Komisji podlegają podmioty prowadzące działalność na rynku kapitałowym na podstawie zezwoleń Komisji lub innego właściwego organu administracji, oraz inne podmioty – w zakresie w jakim ciążą na nich określone w odrębnych przepisach obowiązki związane z uczestnictwem w tym rynku”.

Tym samym art. 5 Ustawy o nadzorze nad rynkiem kapitałowym wskazuje dwie wyżej opisane płaszczyzny, tj. jedną, dotyczącą obowiązków związanych z uczestnictwem w tym rynku, a drugą w związku z działaniem na podstawie zezwolenia. Następnie art. 5 zawiera przykładowy katalog podmiotów nadzorowanych w ramach systemu nadzoru nad rynkiem kapitałowym.

Komunikat może odnosić się jedynie do tych podmiotów i takiej ich działalności, która jest prowadzona na podstawie udzielonego przez KNF zezwolenia – tj. bez takiego zezwolenia nie mogłaby być prowadzona. Należy to rozumieć szeroko. Jeżeli chmura obliczeniowa jest wykorzystywana do czynności mających związek z działalnością regulowaną, to Komunikat ma zastosowanie. 

Nadzór dopuszcza sytuacje, w których dochodzi lub może dojść do przetwarzania danych w chmurze obliczeniowej, co może mieć związek z działalnością regulowaną, ale dane te nie stanowią informacji prawnie chronionych (w rozumieniu przepisów Ustawy o nadzorze), jak też ich przetwarzanie nie będzie stanowiło outsourcingu szczególnego w rozumieniu Komunikatu. 

Odpowiedź na pytanie, czy dany podmiot można uznać za podmiot nadzorowany w rozumieniu Komunikatu zawarta jest w przepisach określających funkcjonowanie poszczególnych segmentów rynku i podmiotów.

Przykładowo, nadzór sprawowany przez Komisję nad spółkami publicznymi ma charakter wyspecjalizowany i w wielu przypadkach ograniczony jest do określonych typów działań na rynku kapitałowym. Komisja sprawuje również nadzór nad podmiotami prowadzącymi działalność wymagającą uzyskania zezwolenia – nadzór sprawowany w tym zakresie przez Komisję jest niezależny od posiadania przez spółkę statusu spółki publicznej. 

W większości przypadków, nadzór Komisji Nadzoru Finansowego nad spółkami publicznymi jest więc wykonywany w przypadku podejmowania przez te spółki określonych czynności związanych z jej funkcjonowaniem na rynku kapitałowym, np. publikacji prospektu emisyjnego, a nie w zakresie innej działalności podmiotu nadzorowanego, o ile nie wymaga ona uzyskania zezwolenia.

Na podstawie art. 2 ust. 1 pkt 2 oraz ust. 2 ustawy z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym i emerytalnym (t.j. Dz.U. z 2019 r. poz. 207), nadzorem ubezpieczeniowym i emerytalnym objęta jest działalność w zakresie pośrednictwa ubezpieczeniowego, o której mowa w przepisach o pośrednictwie ubezpieczeniowym. Na podstawie art. 3 ust. 1 pkt 14 ustawy z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń (t.j. Dz. U. z 2019 r. poz. 1881, dalej: „Ustawa o dystrybucji ubezpieczeń”), przez pośrednictwo ubezpieczeniowe należy rozumieć wykonywanie dystrybucji ubezpieczeń lub dystrybucji reasekuracji przez pośredników ubezpieczeniowych. Zgodnie z art. 3 ust. 1 pkt 15 Ustawy o dystrybucji ubezpieczeń, pośrednikami ubezpieczeniowymi są agenci ubezpieczeniowi, agenci oferujący ubezpieczenia uzupełniające, brokerzy ubezpieczeniowi oraz brokerzy reasekuracyjni, którzy wykonują dystrybucję ubezpieczeń albo dystrybucję reasekuracji za wynagrodzeniem. 

W związku z powyższym, agenci ubezpieczeniowi, przetwarzający w chmurze obliczeniowej informacje prawnie chronione, muszą stosować postanowienia Komunikatu.

Komunikat zgodnie z użytą w nim definicją podmiotu nadzorowanego w I 1. 1 określa krąg podmiotów do których ma on zastosowanie poprzez odesłanie do art. 1 ust. 2 pkt. 1–8 Ustawy o nadzorze, gdzie w pkt 5 przepisu ustawodawca wymienił podmioty działające na podstawie ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2020 r. poz. 794, ze zm.). 

MIP, AISP i PISP są podmiotami nadzorowanymi w rozumieniu Ustawy o nadzorze, dlatego Komunikat ma do nich zastosowanie w całości. Komunikat należy traktować jako sprecyzowanie istniejących wymagań prawnych, bez uszczerbku dla tych wymagań. Ponadto Komunikat jest podejściem krajowym do outsourcingu przetwarzania informacji w chmurze obliczeniowej dla sektora finansowego (model referencyjny). Tym samym wytyczne, zalecenia lub inne dokumenty prezentujące stanowisko europejskich organów nadzorczych, które odnoszą się do przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej, nie mają zastosowania do podmiotów nadzorowanych w zakresie w jakim są sprzeczne z Komunikatem. Obowiązujące w takiej sytuacji jest krajowe podejście określone w Komunikacie.

Częściowe lub proporcjonalne zniesienie danego rodzaju wymogów wskazanych w VII.1. i 2. Komunikatu jest niemożliwe, ponieważ wymogi zostały wskazane jako minimalne. Tym samym wszystkie podmioty nadzorowane są obowiązane do ich stosowania.

Zatem zakres stosowania wymogów zawartych w Komunikacie przez MIP, AISP, PISP odnosi się do właściwych przepisów regulujących dany rodzaj działalności oraz zakresu informacji prawnie chronionych, które przetwarzają te podmioty. Biorąc pod uwagę, żes jednym z podstawowych celów Komunikatu jest ochrona informacji prawnie chronionych UKNF podkreśla, że zasada proporcjonalności nie powinna być interpretowana jako przyzwolenie na zastosowanie przez mniejsze podmioty nadzorowane mniej efektywnych zabezpieczeń przetwarzanych informacji niż te opisane w Komunikacie. Co równie ważne, przepisy określające tajemnice sektorowe (m.in. tajemnica bankowa, tajemnica maklerska, tajemnica ubezpieczeniowa) nie różnicują zakresu odpowiedzialności od skali i zakresu działalności podmiotu, w celu stworzenia jednolitego minimalnego poziomu ochrony. Oznacza to że zasada proporcjonalności znajduje zastosowanie, gdy podmiot wdraża dodatkowe rozwiązania, które nie są objęte Komunikatem i co do których może stosować rozwiązania (w tym zabezpieczenia) proporcjonalne do zakresu i skali wdrożonego rozwiązania.

Komunikat stosuje się do podmiotów podlegających nadzorowi nad rynkiem finansowym zgodnie z art. 1 ust. 2 pkt. 1 – 8 Ustawy o nadzorze. Zgodnie z art. 1 ust. 2 pkt 4 Ustawy o nadzorze, nadzór obejmuje także podmioty wymienione w ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2020 r. poz. 95, ze zm., dalej: „Ustawa o Funduszach”). W odniesieniu do funduszy inwestycyjnych potwierdza to dodatkowo przepis art. 5 pkt 8 Ustawy o nadzorze nad rynkiem kapitałowym wskazujący  wprost, że podmiotem nadzorowanym jest fundusz inwestycyjny. Nadzorowi Komisji Nadzoru Finansowego podlega także stosownie do treści art. 5 pkt 9 ustawy o nadzorze nad rynkiem kapitałowym towarzystwo funduszy inwestycyjnych, które to zgodnie z treścią art. 4 ust. 1 Ustawy o Funduszach zarządza funduszem inwestycyjnym i reprezentuje fundusz inwestycyjny w stosunkach z osobami trzecimi. Fundusz inwestycyjny jest natomiast prawnie określonym, samodzielnym adresatem (podmiotem) norm i obowiązków, niezależnie od tego, że ich wykonywanie przypisano zasadniczo towarzystwu funduszy inwestycyjnych.  

UKNF zwraca uwagę, że Komunikat będzie miał zastosowanie również w sytuacji, gdy czynności wykonywane przez fundusz inwestycyjny zlecane są do wykonywania podmiotowi trzeciemu (np. agentowi transferowemu, który prowadzi na zlecenie funduszu inwestycyjnego rejestr uczestników), a tenże podmiot trzeci będzie wykorzystywał do tej czynności usługę chmury obliczeniowej. W takiej sytuacji, zgodnie z VI.2.7 Komunikatu to fundusz inwestycyjny musi zapewnić, aby dostawca usług chmury obliczeniowej na rzecz podmiotu trzeciego świadczącego usługi dla funduszu inwestycyjnego działał zgodnie z zasadami określonymi Komunikatem oraz bezwzględnie obowiązującymi przepisami prawa. Obowiązek w tym zakresie, jako organ funduszu, realizuje towarzystwo funduszy inwestycyjnych. 

Analogicznie w przypadku wykorzystania przez towarzystwa funduszy inwestycyjnych usługi chmury obliczeniowej publicznej lub hybrydowej (w zakresie jej części opartej o chmurę obliczeniową publiczną), w związku z czynnościami towarzystwa funduszy inwestycyjnych, w odniesieniu do przetwarzania informacji prawnie chronionych oraz outsourcingu szczególnego, Komunikat znajdzie zastosowanie także do tych podmiotów.

Powierzenie wykonywania czynności na podstawie art. 45a ust. 1 Ustawy o Funduszach (np. tzw. serwiserowi) wymaga weryfikacji oraz zapewnienia w odniesieniu do powierzonych czynności, że  powierzenie odbywa się zawsze zgodnie z bezwzględnie obowiązującymi przepisami prawa i zgodnie z Komunikatem, w przypadku: 

• korzystania przez przedsiębiorcę lub przedsiębiorcę zagranicznego z usługi chmury obliczeniowej publicznej lub hybrydowej w zakresie jej części opartej o chmurę obliczeniową publiczną, 
• gdy dochodzi do przetwarzania informacji prawnie chronionych lub outsourcingu szczególnego.

Na każdym podmiocie nadzorowanym, zgodnie z definicją wskazaną w art. 1 ust. 2 pkt 1 -8 Ustawy o nadzorze, w tym na banku spółdzielczym, spoczywa obowiązek zapewnienia zgodności funkcjonowania z obowiązującym przepisami prawa w zakresie prowadzonej przez podmiot nadzorowany działalności. Każdy bank spółdzielczy jest odrębną osobą prawną, więc obowiązki administracyjno-prawne, co do zasady, powinien realizować samodzielnie.

Zatem każdy bank spółdzielczy ma obowiązek przygotowania wymaganego Załącznikiem Nr 1 Komunikatu zgłoszenia. Ponadto każdy bank spółdzielczy ma obwiązek zapewnienia zgodności korzystania z chmury obliczeniowej publicznej lub hybrydowej z Komunikatem w oparciu o model referencyjny, o którym mowa w III Komunikatu. Jak wskazano w VI.4.2 Komunikatu, podmiot nadzorowany, na podstawie wyników szacowania ryzyka, zarządza tym ryzykiem, uwzględniając w szczególności stopień złożoności organizacyjnej, podział uprawnień i odpowiedzialności podmiotu nadzorowanego, zawarte porozumienia, oraz analogiczne czynniki występujące w grupie kapitałowej lub organizacji grupowej, lub o charakterze stowarzyszenia, do których podmiot nadzorowany należy. Zatem każdy bank spółdzielczy ma obowiązek samodzielnego przeprowadzenia czynności wskazanych powyżej.

Dopuszczalna jest sytuacja, w której bank zrzeszający przygotowuje model służący do oceny ryzyka przez banki zrzeszone. Jednak to na konkretnym banku spółdzielczym spoczywa obowiązek oceny przygotowanego modelu oraz dostosowanie do specyfiki tego banku, a następnie samodzielnej oceny ryzyka przygotowanej przy pomocy modelu.

Wzór informacji zamieszczony w Załączniku nr 1 Komunikatu wskazuje oczekiwany przez nadzór sposób komunikacji w zakresie outsourcingu chmurowego. Poinformowanie UKNF zgodnie z Załącznikiem nr 1 Komunikatu nie wyłącza obowiązków podmiotu nadzorowanego wyszczególnionych w przepisach powszechnie obowiązujących dotyczących czynności powierzanych do wykonania podmiotom trzecim. Podmiot nadzorowany ma obowiązek identyfikowania przepisów powszechnie obowiązujących, w zakresie prowadzonej przez siebie działalności, szczególnie w zakresie uzyskania zgody nadzoru na określone czynności.

Biorąc pod uwagę charakter zawiadomienia kierowanego do UKNF stanowiącego Załącznik nr 1 Komunikatu, niezbędne jest, aby zawiadomienie zostało podpisane przez osobę uprawnioną do reprezentacji podmiotu zgodnie z przyjętym przez podmiot nadzorowany sposobem reprezentacji.

W części dotyczącej umowy z dostawcą usług chmury obliczeniowej Komunikat wskazuje, że podmiot nadzorowany posiada sformalizowaną umowę (oraz inne dokumenty, w tym oświadczenia, regulaminy, warunki korzystania z usług, także w wersji elektronicznej) z dostawcą usług chmury obliczeniowej, która – tam, gdzie jest to zasadne w odniesieniu do używanych usług i zakresu przetwarzanych informacji – zawiera lub wskazuje źródła informacji, obejmujące m.in. prawo podmiotu nadzorowanego do przeprowadzenia inspekcji w lokalizacjach przetwarzania informacji, w tym prawo do przeprowadzenia audytu drugiej lub trzeciej strony na zlecenie podmiotu nadzorowanego (o ile taka potrzeba wynika z szacowania ryzyka VII.4.1.m Komunikatu).

Nadzór dopuszcza, z uwzględnieniem zastrzeżeń wskazanych w Komunikacie, możliwość wykorzystania przez podmiot nadzorowany (a także przez dostawcę innego niż dostawca usług chmurowych) audytu drugiej lub trzeciej strony, tylko i wyłącznie pod warunkiem, że druga lub trzecia strona zagwarantuje w umowie, że audyt zostanie przeprowadzony na podstawie fizycznych inspekcji w lokalizacjach przetwarzania informacji, a także gdy dostawca chmurowy zapewni w umowie pełną współpracę przy wykonaniu audytu. Nadzór rekomenduje, aby w przypadku korzystania z audytu drugiej i trzeciej strony podmiot nadzorowany zagwarantował sobie prawo do audytu realizowanego wyłącznie na jego rzecz, a nie w wyłącznie w ramach audytu połączonego.

Poniżej przedstawione zostały cztery definicje chmury obliczeniowej, które zostały wyróżnione w Komunikacie. Biorąc pod uwagę wątpliwości interpretacyjne oraz potencjalne sankcje dla podmiotów nadzorowanych wynikające z naruszenia przepisów prawa, co może wynikać z błędnej oceny stanu faktycznego, UKNF wskazuje na kluczowe aspekty pozwalające odróżnić poszczególne rodzaje chmury obliczeniowej.

1. wyłączność dostępu do chmury obliczeniowej lub jego brak po stronie podmiotu nadzorowanego,

2. posiadanie lub bezpośrednie zarządzanie. 

Ponadto, jak wskazują powyższe definicje chmury obliczeniowej hybrydowej i społecznościowej, płaszczyzną odróżniającą te rodzaje chmur obliczeniowych jest: 

1. w przypadku chmury hybrydowej – połączenie dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej) oraz, 

2. w przypadku chmury społecznościowej – powiązanie kapitałowe lub powiązanie na mocy wspólnej umowy o współpracy; zdefiniowanie wspólnych wymagań i zasad; posiadanie lub bezpośrednie zarządzanie przez podmiot(y) z grupy lub na jego (ich) zlecenie.

Należy wskazać, że podmiot nadzorowany powinien dokonać oceny możliwości przetwarzania w poszczególnych rodzajach chmury obliczeniowej zarówno w kontekście postanowień Komunikatu, jak i przede wszystkim odpowiednich przepisów prawa, które np. w zakresie dopuszczalności łańcucha outsourcingowego mogą być bardziej restrykcyjne niż postanowienia Komunikatu.

Chmura obliczeniowa społecznościowa może mieć charakter publiczny albo prywatny. Decydującą kwestią, która odróżnia charakter publiczny od prywatnego chmury społecznościowej, jest posiadanie lub bezpośrednie zarządzanie infrastrukturą. W przypadku kiedy posiadanie lub bezpośrednie zarządzanie infrastrukturą jest po stronie dostawcy usług chmury obliczeniowej to chmura ma charakter publiczny.
Możliwość posiadania lub bezpośredniego zarządzania oznacza w szczególności (choć nie wyłącznie): możliwość wprowadzania zmian w infrastrukturze (w tym wymiana sprzętu, aktualizacja oprogramowania), decydowanie o zasadach fizycznego dostępu do infrastruktury oraz decydowanie o zasadach ochrony fizycznej i logicznej infrastruktury.
W przypadku, gdy podmiot nadzorowany (samodzielnie lub we współpracy z innymi podmiotami nadzorowanymi w ramach umowy o współpracy lub grupy kapitałowej), posiada lub bezpośrednio zarządza infrastrukturą w ramach chmury obliczeniowej społecznościowej, to chmura obliczeniowa ma charakter prywatny. Zatem chmura społecznościowa prywatna nie może być zarządzana przez podmiot trzeci w imieniu podmiotów nadzorowanych.

Jeżeli natomiast dostawca usług chmury obliczeniowej posiada lub bezpośrednio zarządza infrastrukturą w ramach chmury obliczeniowej społecznościowej, to chmura obliczeniowa ma charakter publiczny.

Drugim kluczowym zagadnieniem z perspektywy definicji chmury obliczeniowej jest dostęp podmiotów do danych w chmurze obliczeniowej. Sytuacja niebudząca wątpliwości zachodzi w przypadku oceny różnic między chmurą obliczeniową prywatną oraz publiczną: w pierwszym przypadku mamy do czynienia z dostępem jednego podmiotu do zasobów chmury, natomiast w drugim zasoby są dzielone z innymi podmiotami. 

Osobnym zagadnieniem jest chmura obliczeniowa społecznościowa, która charakteryzuje się istnieniem więzi kapitałowych lub więzi wynikającej z umowy o współpracy między podmiotami korzystającymi z danej chmury. 

Biorąc pod uwagę powyższe należy wskazać, że:

1. decyzja o możliwości skorzystania przez podmiot nadzorowany z poszczególnych rodzajów chmury obliczeniowej powinna zostać poprzedzona analizą  przepisów prawa,
2. możliwość i potencjalne warunki skorzystania z wybranego rodzaju chmury obliczeniowej powinna być określona na etapie oceny ryzyka, w szczególności poprzez uwzględnienie wytycznych do klasyfikacji i oceny informacji.

Outsourcing szczególny chmury obliczeniowej oznacza outsourcing chmury obliczeniowej, w ramach którego podmiot nadzorowany powierza dostawcy usług chmury obliczeniowej wykonywanie za pomocą usługi chmury obliczeniowej czynności lub funkcji podmiotu nadzorowanego, których brak lub przerwa w realizacji spowodowana awarią lub naruszeniem zasad bezpieczeństwa usługi chmury obliczeniowej, w ocenie podmiotu nadzorowanego:

a) wpływałaby w sposób istotny na ciągłość wypełniania przez podmiot nadzorowany warunków stanowiących podstawę uprawnienia prowadzenia działalności nadzorowanej lub jej wykonywania, lub 

b) zagrażałaby w sposób istotny wynikom finansowym podmiotu nadzorowanego, niezawodności lub ciągłości wykonywania działalności nadzorowanej.

Biorąc pod uwagę, że „outsourcing szczególny” nie jest terminem ustawowym, w celu wyjaśnienia intencji twórców Komunikatu należy wskazać na kluczowe zagadnienia pozwalające na sprecyzowanie tego terminu. Podstawą definicji zawartej w Komunikacie jest pojęcie krytycznych i istotnych funkcji, działań i procesów podmiotu nadzorowanego z perspektywy wykonywanej przezeń działalności nadzorowanej. 

Istotnym aspektem w kontekście outsourcingu szczególnego, na który powinien zwrócić uwagę podmiot nadzorowany jest również skala ocenianego procesu, która może się zmieniać w trakcie prowadzonej działalności. Proces, który wyjściowo nie był oceniany jako krytyczny i istotny, może z biegiem czasu zwiększyć swoją skalę i przez to powinien zostać zakwalifikowany jako kluczowy
i krytyczny. Z tych względów podmiot nadzorowany powinien w sposób ciągły monitorować jakie procesy i w jakim zakresie są przetwarzane z wykorzystaniem chmury obliczeniowej.

Nie jest celem i praktyką nadzoru UKNF, aby dokonywać analizy wszystkich procesów prowadzonych przez podmiot nadzorowany w kontekście outsourcingu szczególnego. Co więcej, biorąc pod uwagę szeroko rozumianą zasadę proporcjonalności, wskazanie sztywnych ram procesów krytycznych i istotnych mogłoby stanowić działanie dyskryminacyjne, szczególnie biorąc pod uwagę odmienną kulturę organizacyjną poszczególnych jednostek. Powyższa uwaga nie wyłącza możliwości weryfikacji przez UKNF oceny dokonanej przez podmiot nadzorowany w zakresie krytyczności i istotności danego procesu. Dlatego podmiot nadzorowany powinien posiadać udokumentowane uzasadnienie dotyczące kwalifikacji wszystkich procesów i funkcji w kontekście ich krytyczności i istotności.  

Zgodnie z Komunikatem poddostawca to podmiot, który świadczy usługi dla dostawcy usług chmury obliczeniowej, służące dostarczaniu usługi chmury obliczeniowej dla podmiotu nadzorowanego
i posiada albo może posiadać identyfikowany dostęp do informacji przetwarzanych przez podmiot nadzorowany.

W pierwszej kolejności podmiot nadzorowany powinien dokonać oceny dopuszczalności przekazania określonego rodzaju danych w zakresie dopuszczalnego przepisami łańcucha outsourcingowego, tj. ilości podmiotów w nim występujących.

Komunikat nie modyfikuje przepisów prawa. Wskazuje, że poddostawcą jest wyłącznie podmiot, który może posiadać identyfikowany dostęp do informacji w zakresie łańcucha outsourcingowego dopuszczalnego przez przepisy prawa obowiązujące dany podmiot nadzorowany.

Zakres odpowiedzialności insourcerów nie wynika z postanowień Komunikatu, ale z odpowiednich przepisów prawa, które każdy podmiot nadzorowany powinien zidentyfikować przed zawarciem umowy z insourcerem.

Dopuszczalność łańcucha outsourcingowego powinna być postrzegana na dwóch płaszczyznach: 

1. dopuszczalności powierzenia przetwarzania danych podmiotowi trzeciemu oraz oceny ryzyka ujawnienia informacji w kontekście udostępnienia lub powierzenia informacji prawnie chronionych na każdym etapie łańcucha outsourcingowego, oraz
2. rzeczywistej kontroli wypełniania wymogów dotyczących powierzenia przetwarzania informacji prawnie chronionych zarówno przez dostawcę chmurowego, jak i innego dostawcę, który korzysta z usług chmurowych do świadczenia usług na rzecz podmiotu nadzorowanego. 

Tak, Komunikat znajdzie zastosowanie, tak długo jak w chmurze obliczeniowej będą przetwarzane informacje prawnie chronione lub informacje objęte outsourcingiem szczególnym w rozumieniu Komunikatu.

Jeżeli dostawca (inny niż chmurowy) oferuje usługę polegającą na dostarczaniu oprogramowania w modelu SaaS na rzecz wielu podmiotów nadzorowanych, a dane podmiotów są separowane tylko w sposób logiczny, tj. każdy podmiot nadzorowany posiada własną niezależną instancję systemu, to z punktu widzenia podmiotu nadzorowanego, niezależnie od modelu innych usług z których korzysta dostawca (inny niż chmurowy), usługa jest oferowana w modelu chmury publicznej.

Po pierwsze, przed przekazaniem danych dostawcy oprogramowania podmiot nadzorowany powinien upewnić się, czy zakres korzystania przez dostawcę oprogramowania z poddostawców jest zgodny z przepisami prawa powszechnie obowiązującego oraz czy, i w jakim zakresie dopuszczalny jest łańcuch outsourcingowy. Po drugie, (o czym mówi VI.2.7 Komunikatu), podmiot nadzorowany powinien:

a) określić, w jakim zakresie świadczona przez bezpośredniego dostawcę oprogramowania usługa wykorzystuje usługi chmury obliczeniowej, a w szczególności czy dochodzi do przetwarzania informacji prawnie chronionej lub objętej outsourcingiem szczególnym w usłudze chmury obliczeniowej;
b) zależnie od faktycznego wykorzystania usług chmury obliczeniowej oraz zakresu przetwarzanych informacji podmiot nadzorowany powinien zapewnić, że przetwarzanie informacji jest realizowane
z uwzględnieniem postanowień Komunikatu.

W sytuacji, gdy podmiot nadzorowany, dokonując analizy ryzyka i jego oszacowania stwierdzi, że poprzez relację umowną z dostawcą oprogramowania nie jest w stanie zagwarantować realizacji postanowień Komunikatu przez poddostawcę, podmiot nadzorowany powinien:

a)    nawiązać relację umowną z poddostawcą (dostawcą chmurowym), w celu realizacji postanowień Komunikatu (np. w formule umowy trójstronnej);
b)    zrezygnować z usług świadczonych przez dostawcę oprogramowania , jeżeli niezależnie od formy relacji (np. umowy z poddostawcą) nie będzie możliwe zagwarantowanie wykonania postanowień Komunikatu.

Fakt nieposiadania przez podmiot nadzorowany relacji umownych z poddostawcą nie zwalnia z realizacji powinności określonych w VII Komunikatu. Podmiot nadzorowany powinien więc samodzielnie upewnić się, jakie zabezpieczenia prawne, korporacyjne lub logiczne pozwolą na skuteczne zastosowanie postanowień Komunikatu i przepisów prawa. Nadzór rekomenduje, aby w procesie oceny zapewnienia bezpieczeństwa przetwarzania informacji prawnie chronionych i informacji objętych outsourcingiem szczególnym zaangażowany był bezpośrednio dostawca chmurowy.

Zgodnie z VII.5.5.1.d Komunikatu podmiot nadzorowany na podstawie wyników szacowania ryzyka opracowuje udokumentowany plan przetwarzania informacji w chmurze obliczeniowej, który zawiera co najmniej datę zawarcia umowy z dostawcą usług chmury obliczeniowej i referencje do tej umowy (numer, okres obowiązywania, datę przedłużenia lub zmiany, daty rozpoczęcia korzystania z usług), a w przypadku, gdy umowa nie jest jeszcze zawarta – przewidywaną datę jej zawarcia.

W przypadku, gdy umowa nie jest zawierana z dostawcą chmury, lecz z dostawcą usługi korzystającym z chmury obliczeniowej, informacje wymienione w VII.5.5.1.d Komunikatu powinny zostać uwzględnione  w planie przetwarzania.

Przykładowo, jeżeli dostawca usługi korzysta z chmury obliczeniowej, poza wymaganą w umowie adnotacją na temat relacji kontraktowych podmiotu nadzorowanego z dostawcą usługi, należy zawrzeć w niej również elementy z VII.5.5.1.d Komunikatu, wynikające z umowy łączącej dostawcę usługi z dostawcą chmury.

Fakt nieposiadania przez podmiot nadzorowany relacji umownych z dostawcą chmury, nie zwalnia z realizacji powinności określonych w niniejszym punkcie. Dostawca usługi powinien więc zagwarantować istnienie (np. poprzez relewantne zapisy umowne z dostawcą chmury) odpowiedniego okresu testowego przewidzianego do testowania scenariuszy, adekwatnych do występującego ryzyka. Ze względu na fakt, że powyższe odnosi się do informacji przetwarzanych w chmurze obliczeniowej, trudno sobie wyobrazić brak realnego zaangażowania w te procesy dostawcy chmury.

Brak umowy podmiotu nadzorowanego z dostawcą chmury nie zwalnia z obowiązku zaangażowania dostawcy chmurowego, jeżeli jest to niezbędne dla skutecznego, realnego wykonania postanowień
VII.5.5.3 Komunikatu. W przypadku braku umowy z dostawcą chmury, podmiot nadzorowany – dla możliwości skorzystania z usługi dostawcy usługi – powinien upewnić się, czy na podstawie relacji umownych pomiędzy dostawcą usługi, a dostawcą chmury jest możliwe skuteczne i sprawne zrealizowanie planu wycofania się z chmury obliczeniowej (również w sytuacji awaryjnej).

Podmiot nadzorowany powinien zapewnić skuteczną realizację postanowień VII.5.5.4 Komunikatu. Nie jest jednak możliwe kategoryczne i bezwzględne przyjmowanie określonych założeń np. rzeczywistego udziału dostawcy chmury w tworzeniu testów z podmiotem nadzorowanym. Forma aktywności podmiotów uczestniczących w łańcuchu outsourcingowym, uzależniona jest bowiem od szeregu czynników (np. prawdopodobieństwa wystąpienia ryzyka, rodzaju przetwarzanych informacji, czy w końcu postawy podmiotów tworzących łańcuch do zaangażowania się w proces tworzenia planu ciągłości działania).
Przykładowo, dostawca usługi może zagwarantować, w drodze postanowień umownych z dostawcą chmury, realizowanie określonych uprzednio przez podmiot nadzorowany wymogów planu. W takiej sytuacji, dostawca chmury będzie niejako biernym odbiorcą przyjętych ustaleń. Nie jest również wykluczone, że dostawca chmury nawiąże bezpośredni kontakt z podmiotem nadzorowanym w celu optymalizacji procesu tworzenia planu czy precyzyjniejszego określenia oczekiwanych wobec niego zasad postępowania (sformułowanych w umowie pomiędzy dostawcą usługi a dostawcą). Nie sposób także wykluczyć sytuacji, w której sam podmiot nadzorowany uzna, że niezbędne jest zaangażowanie dostawcy chmury do udziału w tworzeniu planu ciągłości działania, niezależnie od tego, że nie jest nawiązana z nim relacja umowna.

UKNF zwraca uwagę, że w przypadku typu łańcucha outsourcingowego przewidzianego w VI.2.7 Komunikatu, ryzyko związane z ciągłością działania związane jest z funkcjonowaniem dwóch podmiotów: dostawcy usługi i dostawcy chmury. Plan ciągłości działania, jakkolwiek możliwy do ujęcia w jednym dokumencie, powinien więc obejmować przypadki utraty kontroli nad przetwarzanymi informacjami jako efekt zaistnienia zdarzeń dotyczących działalności jednego i drugiego dostawcy. Powinien również uwzględniać sposób działania w przypadku jednoczesnego wystąpienia negatywnych zdarzeń po stronie dostawcy usługi i dostawcy chmury, co jest możliwe np. w sytuacji, kiedy oba podmioty należą do jednej grupy kapitałowej.

UKNF pozytywnie ocenia inicjatywy standaryzacji wdrożenia rozwiązań chmurowych podejmowane przez zrzeszenia sektora finansowego lub inne podejmowane w ramach ograniczonego kręgu podmiotów np. w ramach zrzeszeń banków spółdzielczych. Jednak okoliczności podjęcia dialogu z UKNF i przesłania do zaopiniowania standardu wdrożenia chmury obliczeniowej nie mogą być utożsamiane z akceptacją lub wyrażeniem przez UKNF wiążącej opinii w zakresie postanowień standardu. 

UKNF nie ma umocowania do wydawania wiążących opinii dotyczących ogólnych standardów branżowych. Ponadto każdy przypadek wdrożenia chmury powinien zostać oceniony indywidualne z uwagi na  okoliczności dotyczące konkretnego przypadku.

UKNF wskazuje, że standardy wdrożenia chmury, powinny opierać się na przepisach prawa, Komunikacie oraz odnosić się do sektora finansowego, którego dotyczą. W szczególności definiowanie poszczególnych pojęć powinno uwzględniać przepisy prawa właściwe dla danego sektora. UKNF zwraca  zatem uwagę na konieczność używania definicji zgodnych z przepisami powszechnie obwiązującego prawa.

UKNF wyjaśnia, że posiadanie chmury obliczeniowej nie oznacza, że podmiot nadzorowany powinien być jednocześnie jej właścicielem. Podmiot nadzorowany powinien natomiast zapewnić bezpieczne, pod względem prawnym i faktycznym, posiadanie chmury obliczeniowej przez okres korzystania z niej, uwzględniając przy tym czas potrzebny do bezpiecznego zrealizowania migracji do innej chmury obliczeniowej lub wycofania się z chmury obliczeniowej do infrastruktury on premise. 

 UKNF wyjaśnia, że bezpośrednie zarządzanie chmurą obliczeniową oznacza, że podmiot nadzorowany bez udziału podmiotu trzeciego kontroluje  chmurę obliczeniową w ramach zasobów personalnych pozostających w jego wyłącznej dyspozycji i pod jego kontrolą. Osoby zarządzające chmurą obliczeniową powinny wykonywać czynności na rzecz podmiotu nadzorowanego w relacji bezpośredniej,  tj. bez pośredniczenia podmiotów trzecich np.: kadra IT nie może świadczyć usług na rzecz podmiotu nadzorowanego poprzez agencję pracy, wykonywanie czynności nie może się odbywać poprzez oddelegowanie konkretnej osoby przez spółkę informatyczną, z którą podmiot nadzorowany ma podpisaną umowę na obsługę IT, lub oddelegowanie osoby przez spółkę IT w ramach grupy kapitałowej, do której należy podmiot nadzorowany.

Komunikat stosuje się w przypadku korzystania przez podmiot nadzorowany z chmury publicznej lub hybrydowej (w zakresie jej części opartej o chmurę publiczną), jeżeli przetwarzane informacje należą do informacji prawnie chronionych lub przetwarzanie informacji ma charakter outsourcingu szczególnego w rozumieniu Komunikatu; wymóg stosowania Komunikatu nie obwiązuje tylko w przypadku korzystania z chmury prywatnej. Chmura obliczeniowa prywatna to chmura obliczeniowa dostępna do wyłącznego użytku jednego podmiotu nadzorowanego, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot nadzorowany. 

W szczególność gdy:

• miejscem fizycznej instalacji infrastruktury IT jest serwerownia własna podmiotu nadzorowanego lub wybrane przez podmiot nadzorowany centrum przetwarzania danych, oraz 
• zarządzanie chmurą jest zdalne, wykonywane poprzez bezpieczne połączenie internetowe przez dostawcę usługi chmury obliczeniowej lub podmiot trzeci, 

to tak skonfigurowana usługa jest świadczona przez dostawcę usługi chmury obliczeniowej jako usługa chmury publicznej.

W związku z powyższym Komunikat będzie miał zastosowanie, ponieważ tylko bezpośrednie zarządzanie chmurą przez podmiot nadzorowany (wraz z wyłącznym użytkowaniem infrastruktury w modelu IaaS, z wyłączeniem PaaS, SaaS) skutkuje uznaniem usługi za chmurę prywatną. 

UKNF zwraca uwagę, że niektórzy dostawcy usługi chmury obliczeniowej mogą korzystać z określeń wywołujących jedynie skojarzenie, że dana usługa ma cechy chmury prywatnej. Z tego względu podmiot nadzorowany, przed podjęciem decyzji o skorzystaniu z usługi chmurowej, powinien upewnić się w jakim modelu świadczona jest usługa (publicznym czy prywatnym).

• infrastruktura chmury nie jest przeznaczona do wyłącznego użytku jednego podmiotu, oraz
• podmiot nadzorowany może utworzyć wirtualną chmurę prywatną na skalowalnej infrastrukturze dostawcy usług chmury obliczeniowej, i
• dostawca usług chmury obliczeniowej posługuje się w działaniach marketingowych określeniami takimi jak np. Virtual Private Cloud,

to tak skonfigurowana usługa jest świadczona jako chmura publiczna. W takim przypadku Komunikat będzie miał zastosowanie, ponieważ tylko posiadanie i bezpośrednie zarządzanie chmurą przez podmiot nadzorowany (wraz z wyłącznym użytkowaniem infrastruktury w modelu IaaS, z wyłączeniem PaaS, SaaS) skutkuje uznaniem usługi za chmurę prywatną.

UKNF podkreśla, że korzystanie z chmury obliczeniowej w opisany powyżej sposób jest dozwolone, jednak korzystanie z takich usług wiąże się z obowiązkiem stosowania Komunikatu przez podmioty nadzorowane.

W ocenie UKNF korzystanie przez podmiot nadzorowany z oferowanych na rynku usług/produktów w postaci serwerów wirtualnych z gwarancją zasobów (ang. VPS – Virtual Private Server), które polegają na wirtualnym podziale maszyny fizycznej na kilka mniejszych serwerów wirtualnych, nie może zostać uznane za korzystanie z chmury prywatnej w rozumieniu Komunikatu. Korzystając z serwerów wirtualnych, podmiot nadzorowany nie zarządza bezpośrednio infrastrukturą chmurową, na której funkcjonuje serwer wirtualny.

W przypadku planowania przez podmiot nadzorowany korzystania z usług podmiotu trzeciego lub świadczenia na rzecz podmiotu nadzorowanego przez podmiot trzeci usług przy wykorzystaniu chmury obliczeniowej prywatnej, podmiot nadzorowany nie może uznać, że korzysta z chmury prywatnej. W takim modelu współpracy, tj. w sytuacji, gdy świadczona przez podmiot trzeci usługa wykorzystuje usługi chmury obliczeniowej prywatnej, w ocenie UKNF podmiot nadzorowany korzysta z chmury publicznej i powinien ocenić taką współpracę m.in. z uwzględnieniem VI.2.6 i VI.2.7 Komunikatu.

Stosowanie Komunikatu powinno odbywać się z uwzględnieniem rzeczywistego wykorzystania chmury obliczeniowej publicznej lub hybrydowej, co powinno podlegać każdorazowej analizie przez podmiot nadzorowany.

Zgodnie z Komunikatem chmura obliczeniowa to pula współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy. 

Skalowalności, która może stanowić wyznacznik, czy dana pula zasobów obliczeniowych stanowi chmurę obliczeniową (I.1.3 Komunikatu), nie należy utożsamiać z określaniem przez użytkownika chmury obliczeniowej parametrów wiążących się z korzystaniem z usługi chmury obliczeniowej (I.1.9 Komunikatu). W szczególności określenie przez użytkownika np. pojemności skrzynki pocztowej, mocy obliczeniowej, czy też pamięci RAM nie powoduje, że chmura obliczeniowa nie ma cechy skalowalności. Określenie powyżej wskazanych przykładów parametrów usługi chmury obliczeniowej nie  wpływa na to, czy skalowalność chmury obliczeniowej występuje lub nie. W związku z tym, nie ma wpływu na stosowanie Komunikatu. Przykładowo określenie mocy obliczeniowej lub pojemności dysku wykorzystywanego do usługi analitycznej w chmurze (usługi chmury obliczeniowej) nie wpływa na zakwalifikowanie puli zasobów obliczeniowych jako chmury obliczeniowej, a jedynie może mieć na celu modyfikację wstępnie skonfigurowanej usługi chmury obliczeniowej. Parametry chmury obliczeniowej są elementami brzegowymi (startowymi), po przekroczeniu których mogą być włączone mechanizmy skalowalności. Monitoring tych parametrów, ich szacowanie oraz konieczność ich dostosowania do bieżącego zapotrzebowania jest podstawą do określenia parametrów skalowalności.

O ile hosting jest realizowany w oparciu o infrastrukturę chmurową publiczną lub hybrydową, to Komunikat powinien być stosowany.

Usługi wsparcia IT świadczone poza EOG wymagają uzyskania zezwolenia Komisji Nadzoru Finansowego, o którym mowa w art. 6d ustawy Prawo bankowe w przypadku, gdy podmiot realizujący usługi wsparcia IT może mieć dostęp do informacji objętych tajemnicą bankową.

W szczególności, gdy usługę chmurową świadczy na rzecz banku lub na rzecz przedsiębiorcy, o którym mowa w art. 6a ust. 1 ustawy Prawo bankowe, podmiot z siedzibą lub miejscem stałego zamieszkania w EOG, centrum przetwarzania danych zlokalizowane jest w EOG, a usługi wsparcia (np. rozwiązywanie problemów technicznych użytkowników usługi) świadczone są zdalnie przez:

• osoby współpracujące z wyżej wymienionym podmiotem, lub

• zautomatyzowane systemy wsparcia bez udziału człowieka, 

które znajdują się, choćby krótkotrwale (np. współpracownicy na urlopie), poza EOG, to usługi wsparcia IT będą faktycznie świadczone poza EOG. W konsekwencji podmiot nadzorowany powinien uzyskać zezwolenie. 

UKNF zwraca uwagę, że zgodnie z VI.2.5.a (Wytyczne do szacowania ryzyka) szyfrowanie informacji nie zmniejsza ważności informacji, nie zmienia też jej klasyfikacji i oceny, a więc zaszyfrowanie danych podczas świadczenia usług wsparcia IT, np. w ramach helpdesk, nie wpływa na konieczność uzyskania zezwolenia, o którym mowa w przepisie art. 6d ustawy Prawo bankowe.

Komunikat w VI.2.1.d (Wytyczne do szacowania ryzyka) stanowi, że podmiot nadzorowany uwzględnia w procesie szacowania ryzyka, w kontekście wyników przeprowadzonej klasyfikacji i oceny przetwarzanych informacji w chmurze obliczeniowej, co najmniej dostęp do przetwarzanych informacji, gwarantowany przez jurysdykcję kraju, w którym odbywa się fizycznie przetwarzanie (lokalizacja centrum przetwarzania danych), w szczególności odniesienie do katalogu sytuacji (lub podmiotów), w której możliwe jest żądanie informacji lub dostępu do nich bez wyraźnej zgody podmiotu nadzorowanego, zarówno przez organy administracji krajowej jak i międzynarodowej.

Przetwarzanie danych obejmuje przetwarzanie in rest oraz in transit. Zatem fizyczne przetwarzanie danych odbywa się w centrum przetwarzania danych (CPD) oraz w infrastrukturze telekomunikacyjnej służącej do przesyłania danych pomiędzy poszczególnymi CPD wskazanymi w umowie z dostawcą usługi chmury obliczeniowej, oraz pomiędzy CPD, a podmiotem nadzorowanym.

Deklaracja dostawców usługi chmury obliczeniowej o przetwarzaniu danych tylko na terenie EOG bazująca na lokalizacji CPD w EOG nie gwarantuje, że organy administracji państwa trzeciego jak i międzynarodowej nie będą uprawnione do żądania dostępu do danych podmiotu nadzorowanego.

Pomimo korzystania z CPD zlokalizowanych na terenie EOG, przesyłanie danych pomiędzy CPD w EOG może odbywać się z wykorzystaniem infrastruktury światłowodowej należącej do podmiotu z państwa trzeciego (np. w wyniku wystąpienia siły wyższej albo w wyniku standardowego zarządzania CPD przez dostawcę usługi chmury obliczeniowej, w tym: optymalizacji ruchu sieciowego, obciążenia danego CPD, zarządzenia wykorzystaniem energii elektrycznej w CPD). 

Zatem może dojść do sytuacji, w której CPD zlokalizowane jest w UE i należy do spółki zarejestrowanej w UE, natomiast przetwarzanie in transit realizowane jest w infrastrukturze telekomunikacyjnej należącej do przedsiębiorcy telekomunikacyjnego z państwa trzeciego, np. z USA.

Z uwagi na powyższe, administracja państw trzecich (np. USA) może być uprawniona do żądania dostępu do danych podmiotu nadzorowanego bez zapewnienia standardów UE w zakresie ochrony danych osobowych, jak również informacji prawnie chronionych lub objętych outsourcingiem szczególnym w rozumieniu Komunikatu.

UKNF zaleca zatem, aby podmiot nadzorowany – przed nawiązaniem współpracy z dostawcą usługi chmury obliczeniowej – upewnił się, w jakim zakresie przesyłanie danych pomiędzy CPD odbywa się z użyciem infrastruktury światłowodowej należącej do podmiotu podlegającego prawu państwa trzeciego. 

UKNF zaleca, aby szacowanie ryzyka obejmowało także przetwarzanie danych in transit.

Komunikat nie kreuje nowych oczekiwań UKNF, lecz opisuje stan prawny i sposób rozumienia poszczególnych regulacji, a zakres w jakim ma on zastosowanie do oddziałów instytucji kredytowych wynika z odpowiedniego stosowania przez nie przepisów ustawy Prawo bankowe. Sam Komunikat w swojej treści stanowi, że ma on zastosowanie do podmiotów nadzorowanych w rozumieniu ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym. Oddział instytucji kredytowej jest podmiotem nadzorowanym w określonym ustawą Prawo bankowe zakresie, który obejmuje m.in. outsourcing. Do oddziału instytucji kredytowej znajdują odpowiednie zastosowanie przepisy ustawy Prawo bankowe dotyczące outsourcingu (art. 6a-6d w zw. z art. 48k ust. 2 ustawy Prawo bankowe), a w konsekwencji także Komunikat. W przypadku przetwarzania przez podmiot nadzorowany informacji w chmurze obliczeniowej publicznej lub hybrydowej w rozumieniu Komunikatu, oddział instytucji kredytowej ma obowiązek:

• stosowania przepisów powszechnie obwiązujących, 
• stosowania Komunikatu oraz, 
• poinformowania UKNF o zamiarze przetwarzania informacji w chmurze obliczeniowej zgodnie z VIII.1 Komunikatu  przy wykorzystaniu formularza stanowiącego Załącznik nr 1 do Komunikatu.  

Oddział zakładu ubezpieczeń lub zakładu reasekuracji z UE ma obowiązek:

• stosowania przepisów powszechnie obwiązujących,
• stosowania Komunikatu,  oraz
• poinformowania UKNF o zamiarze przetwarzania informacji w chmurze obliczeniowej zgodnie z Załącznikiem nr 1 do Komunikatu. 

Zakład ubezpieczeń stosuje Komunikat w relacjach z multiagentami oraz agentami wyłącznymi w zakresie w jakim podmioty te wykonują na rzecz zakładu ubezpieczeń proces, usługę lub działanie, które w innym przypadku zostałyby wykonane przez zakład ubezpieczeń oraz: 

1. przetwarzanie informacji w chmurze obliczeniowej publicznej lub hybrydowej ma charakter outsourcingu szczególnego, lub
2. przetwarzanie w chmurze obliczeniowej publicznej lub hybrydowej dotyczy informacji prawnie chronionych (outsourcing chmury obliczeniowej inny niż szczególny).

UKNF wyjaśnia, że notyfikacja zgodnie z Załącznikiem Nr 1 do Komunikatu dotyczy zamiaru przetwarzania danych w chmurze obliczeniowej publicznej lub hybrydowej zgodnie z VIII. Komunikatu. 

Zatem to planowane przetwarzanie danych w chmurze decyduje o obowiązku notyfikowania, a nie okoliczność podpisania umowy przez podmiot nadzorowany. Podpisanie umowy w ramach chmury społecznościowej publicznej, np. przez podmiot zrzeszający lub w ramach grupy kapitałowej przez podmiot dominujący, nie zwalnia poszczególnych podmiotów nadzorowanych uczestniczących w zrzeszeniu lub grupie kapitałowej z obowiązku notyfikowania przetwarzania w chmurze zgodnie z Załącznikiem Nr 1 do Komunikatu.

W przypadku współpracy podmiotu nadzorowanego z innym podmiotem nadzorowanym, podmiot ten nie ma obowiązku dokonywania oddzielnych notyfikacji uwzględniających korzystanie z chmury  przez podmiot nadzorowany, któremu powierzono przetwarzanie, jeżeli korzystanie z chmury jest jego autonomiczną decyzją. Przykładowo w relacji zakład ubezpieczeń – agent ubezpieczeniowy, jeżeli ten drugi autonomicznie korzysta z usług chmurowych (niedostarczonych przez zakład ubezpieczeń), to zakład ubezpieczeń nie ma obowiązku notyfikowania korzystania z chmury i tylko agent ubezpieczeniowy notyfikuje UKNF korzystanie z chmury. 

Jeżeli natomiast, podmiot nadzorowany korzysta z usługi chmurowej dostarczonej przez inny podmiot nadzorowany i wykorzystuje ją do wykonywania czynności na rzecz tego podmiotu, to obydwa podmioty dokonują oddzielnych notyfikacji. Przykładowo w relacji zakład ubezpieczeń – agent ubezpieczeniowy, jeżeli ten drugi korzysta z usługi chmurowej dostarczanej przez zakład ubezpieczeń, to zarówno zakład (niezależnie od tego, z iloma agentami współpracuje), jak i agent dokonują oddzielnych notyfikacji we własnym zakresie wykorzystywania chmury. 

Każdy podmiot nadzorowany prowadzi ewidencję umów outsourcingu, której obowiązek prowadzenia dotyczy również umów z dostawcą usługi chmury obliczeniowej. Ewidencja ta jest prowadzona zgodnie z obowiązującymi dany podmiot przepisami. UKNF zaleca aby ewidencja, w zakresie usług chmury obliczeniowej, uwzględniała również informacje wymienione w Załączniku Nr 1 do Komunikatu.

UKNF wyjaśnia, że zgodnie z VIII. Komunikatu podmiot nadzorowany realizujący zadania na rzecz innego podmiotu nadzorowanego, nie ma obowiązku informowania UKNF zgodnie z Załącznikiem Nr 1 do Komunikatu (ten obowiązek wykonał podmiot nadzorowany powierzający zadanie). Jednak podmiot nadzorowany realizujący zadania na rzecz innego podmiotu nadzorowanego powinien samodzielnie notyfikować korzystanie z chmury zgodnie z Załącznikiem Nr 1, w przypadku gdy z własnej inicjatywy wykorzystuje usługę chmurową niedostarczoną przez podmiot nadzorowany powierzający. UKNF zaleca aby w pojedynczej  notyfikacji uwzględniać informacje opisane  w VIII.1.1 Komunikatu niezależnie od celu ich przetwarzania.

Aktualizacja stosu technologicznego chmury obliczeniowej (zarówno w zakresie infrastruktury jak i oprogramowania, niezależnie od przyjętego modelu świadczenia usług) nie powinna odbywać się z wykorzystaniem kont administracyjnych maszyn wirtualnych, które w tym konkretnym przypadku tworzone byłyby w modelu IaaS. Taka sytuacja byłaby wprost niezgodna z wymaganiami Komunikatu opisanymi w VII.6.4.b.

UKNF podkreśla, że dostawcy usług chmury obliczeniowej posiadają lub powinni posiadać mechanizmy aktualizacji stosu technologicznego, które nie zakładają konieczności posiadania kont administracyjnych w instancjach usług wykorzystywanych przez podmioty nadzorowane. Opisywana sytuacja może mieć odniesienie do działań dostawców, którzy nie są dostawcami usług chmury obliczeniowej, ale świadczą usługi wsparcia IT dla podmiotu nadzorowanego, również w środowisku chmury obliczeniowej. W tym przypadku zastosowanie mają wymagania zdefiniowane w VII.8.4 Komunikatu wraz przypisem nr 11.

Podmiot nadzorowany powinien zidentyfikować, z jakich procesów i aplikacji korzysta. Następnie podmiot nadzorowany powinien zbadać, w szczególności z uwzględnieniem VI.2.1.e i h Komunikatu, które z tych procesów i aplikacji mają istotny wpływ na działalność podmiotu nadzorowanego (tzn. ich brak działania lub działanie nieprawidłowe istotnie wpłynie na funkcjonowanie podmiotu nadzorowanego z perspektywy skutków ekonomicznych, skutków dla reputacji podmiotu nadzorowanego, skutków dla klientów podmiotu nadzorowanego oraz wymogów nadzorczych związanych z prowadzoną przez niego działalnością), oraz które procesy i aplikacje mogą zostać przeniesione do innych dostawców usługi chmury obliczeniowej lub do infrastruktury on premise.

Kwalifikacja, czy dany proces i aplikacja ma istotne znaczenie odbywa się w oparciu o szacowanie ryzyka. Szacowanie ryzyka jest przeprowadzane samodzielnie przez podmiot nadzorowany. UKNF dopuszcza wykorzystanie do szacowania ryzyka standardów opracowanych w ramach zrzeszeń branżowych lub innych powszechnie przyjętych.

Testowanie planu wycofania dotyczy procesów i aplikacji, a nie dostawcy usługi chmury obliczeniowej. Testowanie nie może ograniczać się jedynie do teoretycznych ćwiczeń symulujących podjęcie adekwatnych kroków w przypadku wystąpienia określonych zdarzeń (przeprowadzenie gry sztabowej). Testowanie powinno odbywać się przynajmniej raz w roku poprzez rzeczywiste wykonanie działań awaryjnych w stosunku do procesów i aplikacji, które mają istotny wpływ na działalność podmiotu nadzorowanego. 

Podmiot nadzorowany może przeprowadzać testy w oparciu o listę istotnych procesów i aplikacji (Zestawienie). Zestawienie powinno być aktualizowane co najmniej raz w roku, natomiast monitorowanie wykorzystywanych procesów i aplikacji powinna odbywać się w sposób ciągły. Podmiot nadzorowany opracowuje i utrzymuje Zestawienie. Zestawienie może stanowić podstawę do wyboru testowanego procesu. Jednocześnie, w uzasadnionych przypadkach, UKNF może wskazać na konieczność przeprowadzenia testu danej usługi, w szczególności w przypadku zwiększenia skali wykorzystania procesu i aplikacji.

Testowanie powinno odbywać się rotacyjnie w oparciu o różne procesy i aplikacje. Rotacyjne testowanie powinno dotyczyć procesów i aplikacji, które mają istotny wpływ na działalność podmiotu nadzorowanego.

Umowa z dostawcą usług chmury obliczeniowej powinna określać zasady rozwiązywania umowy, w tym zasady i terminy zwrotu lub usunięcia przetwarzanych informacji (VII.4.1.q Komunikatu). 

 W umowie z dostawcą usługi chmury obliczeniowej podmiot nadzorowany powinien zatem ustalić, w jaki sposób dane podmiotu nadzorowanego zostaną zwrócone podmiotowi w przypadku wycofania się podmiotu z chmury obliczeniowej lub migracji do innej chmury obliczeniowej. UKNF zaleca, aby w umowie z dostawcą usługi chmury obliczeniowej podmiot nadzorowany ustalił bezpieczny sposób usunięcia danych w infrastrukturze dostawcy chmurowego. W ocenie UKNF szyfrowanie nie może zostać uznane za skasowanie danych podmiotu nadzorowanego w infrastrukturze dostawcy usługi chmury obliczeniowej.

 UKNF zaleca, aby podmiot nadzorowany zapewnił sobie, w trakcie trwania umowy i po zakończeniu współpracy z dostawcą usługi chmury obliczeniowej, pełną i wyłączną kontrolę nad danymi i informacjami uzyskanymi w wyniku przetwarzania danych dostarczonych przez podmiot nadzorowany np. profilami behawioralnymi (informacje). UKNF zaleca, aby podmiot nadzorowany zapewnił sobie, trwałe i bezpieczne usunięcie informacji przez dostawcę usługi chmury obliczeniowej z infrastruktury swojej i podmiotów z nim współpracujących. W ocenie UKNF podmiot nadzorowany powinien również zapewnić sobie możliwość wykorzystania informacji niezależnie od dalszej współpracy z dostawcą usługi chmury obliczeniowej.

Każdy z banków powinien szacować ryzyko samodzielnie, może w tym procesie wykorzystywać modele przygotowane w ramach zrzeszenia lub grupy kapitałowej, jednak UKNF wymaga aby każdy z banków samodzielnie szacował ryzyko z uwzględnieniem specyfiki prowadzonej działalności zgodnie z Wytycznymi do szacowania ryzyka opisanymi w VI. Komunikatu.

Nie jest to możliwe, każdy z banków dokonuje samodzielnie notyfikacji zgodnie z Załącznikiem Nr 1 i brzmieniem VIII.1 i 2. Komunikatu.

Nie jest to możliwie. Zgodnie z VII.4.1.n Komunikatu  organ nadzoru musi mieć zagwarantowane prawo do wykonywania obowiązków kontrolnych, w tym kontroli pomieszczeń i dokumentacji związanej z przetwarzaniem informacji podmiotu nadzorowanego, procesów i procedur, organizacji i zarządzania oraz potwierdzeń zgodności.

Opieranie się wyłącznie na raportach i certyfikatach w zakresie spełnienia wymogów określonych w VII.4.1.m Komunikatu nie jest możliwe. UKNF dopuszcza, z uwzględnieniem zastrzeżeń wskazanych w Komunikacie, możliwość wykorzystania przez podmiot nadzorowany (a także przez dostawcę innego niż dostawca usługi chmury obliczeniowej) audytu drugiej lub trzeciej strony, tylko i wyłącznie pod warunkiem, że druga lub trzecia strona zagwarantuje w umowie, że audyt zostanie przeprowadzony na podstawie fizycznych inspekcji w lokalizacjach przetwarzania informacji, a także gdy dostawca usługi chmury obliczeniowej zapewni w umowie pełną współpracę przy wykonaniu audytu. UKNF rekomenduje, aby w przypadku korzystania z audytu drugiej lub trzeciej strony podmiot nadzorowany zagwarantował sobie prawo do audytu realizowanego wyłącznie na jego rzecz, a nie wyłącznie w ramach audytu połączonego.

Postanowienia umowy dotyczące zakresu odpowiedzialności za szkody wyrządzone klientom podmiotu nadzorowanego powinny być jasne i nie budzić wątpliwości interpretacyjnych. W tym zakresie dobrą, a jednocześnie wystarczającą praktyką jest włączenie do umowy odniesienia do poszczególnych przepisów prawa albo inkorporowanie treści konkretnych przepisów prawa – regulujących zasady i zakres odpowiedzialności za szkody wyrządzone klientom przez podmiot nadzorowany jako postanowień umownych.

Komunikat nie przewiduje wymogu posiadania opinii prawnej, iż zawarta umowa spełnia wymagania prawa obowiązujące podmiot nadzorowany w przypadku wyboru prawa właściwego państwa członkowskiego UE. Brak jest również obowiązku posiadania opinii prawnej co do spełnienia przez wszystkie postanowienia umowy wymagań Komunikatu.  Niemniej jednak podmiot nadzorowany podpisując umowę, w przypadku której prawem właściwym jest prawo jednego z państw członkowskich Unii Europejskiej, powinien mieć świadomość otoczenia prawnego w jakim umowa ta będzie funkcjonować. W ocenie UKNF dobrą praktyką jest, aby każda umowa zawierana z dostawcą zewnętrznym była poprzedzona stosowną analizą w zakresie zgodności formalnoprawnej przez odpowiednie komórki organizacyjne podmiotu nadzorowanego.

Rekomendowane jest uwzględnienie w umowie z dostawcą postanowień dotyczących źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług, tak aby podmiot nadzorowany mógł ocenić i ewentualnie dostosować swoją działalność do planowanych zmian albo wypowiedzieć umowę w przypadku braku akceptacji zmian. Celem jest ograniczenie ryzyka jednostronnej zmiany warunków technicznych korzystania z usługi (jej parametrów lub zasad konfiguracji) o którym mowa w pkt VI.2.2) b) Komunikatu.

Sposobem zawarcia w umowie informacji dotyczącej źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług chmury obliczeniowej może być wskazanie w umowie, np. linku do strony internetowej, na której zamieszczane są zaktualizowane informacje o planowanych zmianach w świadczonych przez dostawcę usługach chmury obliczeniowej. Źródłem autoryzowanych informacji jest np. dostęp podmiotu nadzorowanego do portalu internetowego prowadzonego przez dostawcę usług chmury obliczeniowej, zawierającego informacje o planowanych zmianach.

Dobrą praktyką, jest wskazanie w umowie na obowiązek dostawcy usług informowania podmiotu nadzorowanego o zmianach, jak też określenie  z jakim wyprzedzeniem podmiot nadzorowany powinien być informowany o planowanych zmianach, w szczególności tych o charakterze technologicznym mogących mieć znaczący wpływ na bezpieczeństwo oraz sposób świadczenia usługi. Wśród dobrych praktyk wymienić można również wyznaczenie z uwzględnieniem rodzaju przetwarzanych informacji, osoby odpowiedzialnej za bieżący monitoring oraz współpracę z dostawcą usługi.

Przepisy sektorowe rynku finansowego regulują sytuacje przekazania informacji stanowiących tajemnicę sektorową poszczególnym grupom podmiotów lub ze względu na cel przekazania tych informacji. Wykonywanie przez biegłego rewidenta badania sprawozdania finansowego odbywa się w wykonaniu obowiązków ustawowych, o których mowa przykładowo w art. 134 ustawy - Prawo bankowe.

Przykładowo, zgodnie z  art. 105 ust. 1 pkt 2 lit. i ustawy - Prawo bankowe bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie na żądanie biegłego rewidenta upoważnionego do badania sprawozdań finansowych banku na podstawie zawartej z bankiem umowy.

Przetwarzanie informacji prawnie chronionych w chmurze obliczeniowej publicznej lub hybrydowej przez firmę audytorską/biegłego rewidenta, udostępnionych przez podmiot nadzorowany na potrzeby przeprowadzenia badania lub przeglądu sprawozdań finansowych podmiotu nadzorowanego, nie stanowi zatem outsourcingu w rozumieniu Komunikatu.

Na gruncie Komunikatu nie jest wymagane zgłoszenie do UKNF zaprzestania przetwarzania informacji w chmurze obliczeniowej. Pkt VIII. Komunikatu określa zasady informowania UKNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej, nie zaś o zaprzestaniu przetwarzania informacji w chmurze obliczeniowej.

Zaprzestanie wykorzystywania usługi chmury obliczeniowej zgłoszone wcześniej do UKNF nie podlega obowiązkowi notyfikacji do UKNF. 

W przypadkach outsourcingu szczególnego chmury obliczeniowej lub przetwarzania informacji prawnie chronionej, podmiot nadzorowany informuje UKNF o rodzaju i zakresie informacji planowanych do przetwarzania w chmurze obliczeniowej. 

Na gruncie pkt VIII.1.1) Komunikatu podmiot nadzorowany (np. bank) ma obowiązek notyfikowania UKNF zamiaru przetwarzania danych, w przypadku przetwarzania w chmurze obliczeniowej:

• informacji prawnie chronionej (np. tajemnicy bankowej) lub 
• informacji w ramach outsourcingu szczególnego chmury obliczeniowej. 

Komunikat nie przewiduje stopniowania ważności tych informacji. 

W przypadku natomiast, w którym dotychczas notyfikowana informacja uzyskała dopiero następczo status: 

1. informacji prawnie chronionej lub 
2. informacji przetwarzanej w ramach outsourcingu szczególnego 

albo przetwarzane są nowe informacje należące przynajmniej do jednej z ww. kategorii, niezbędne jest ich notyfikowanie do UKNF. 

O rozszerzeniu zakresu lub zmianie rodzaju przetwarzanych danych podmiot nadzorowany zawiadamia poprzez przesłanie informacji w sprawie przetwarzania informacji w chmurze obliczeniowej.

Wśród danych wskazywanych w notyfikacji (pkt VIII.1 Komunikatu) brak jest funkcjonalności usługi.

Zmiana funkcjonalności usługi nie powoduje konieczności dokonania notyfikacji, chyba że  wiąże się z zawarciem nowej umowy z dostawcą usług chmury obliczeniowej. Pomimo że Komunikat nie przewiduje wymogu notyfikowania zmian lokalizacji centrum przetwarzania danych, wskazanych uprzednio w notyfikacji, informacja taka byłaby przydatna ze względów nadzorczych.

Oddział zakładu ubezpieczeń lub zakładu reasekuracji z UE ma obowiązek:

1. stosowania przepisów powszechnie obwiązujących,
2. stosowania Komunikatu,  oraz
3. poinformowania UKNF o zamiarze przetwarzania informacji w chmurze obliczeniowej zgodnie z Załącznikiem nr 1 do Komunikatu. 

W związku z powyższym, na podstawie pkt VIII.1 Komunikatu, w przypadkach outsourcingu szczególnego chmury obliczeniowej lub przetwarzania informacji prawnie chronionej również oddział zakładu ubezpieczeń i zakładu reasekuracji z UE zobowiązany jest do informowania UKNF w terminie 14 dni przed rozpoczęciem przetwarzania informacji w chmurze obliczeniowej o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej. 

W przypisie nr 12 odnoszącym się do terminu 14 dni na poinformowanie organu nadzoru o zamiarze przetwarzania informacji w chmurze obliczeniowej, określonym w pkt VIII.1 Komunikatu dodano: „Chyba że szczególny przepis prawa dotyczący działalności podmiotu nadzorowanego przewiduje inny termin przekazania informacji.”.

Art. 75 ust. 2 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej stanowi, że zakład ubezpieczeń i zakład reasekuracji zawiadamiają organ nadzoru co najmniej na 30 dni przed wdrożeniem outsourcingu funkcji należących do systemu zarządzania oraz podstawowych lub ważnych czynności, a także o istotnej zmianie w outsourcingu tych funkcji lub czynności. O ile zatem przetwarzanie informacji w chmurze obliczeniowej pozostaje w związku z outsourcingiem regulowanym art. 75 ust. 2 ww. ustawy, zastosowanie będzie miał termin 30 dni na notyfikację w sprawie przewarzania informacji. 

Weryfikacja przestrzegania przez agentów/multiagentów ubezpieczeniowych wymogów zawartych w wytycznych Komunikatu powinna być dokonywana przez współpracujący z nimi zakład ubezpieczeń.

Sposób organizacji współpracy zakładu ubezpieczeń z agentem/mulitiagentem, wymogi jakościowe i raportowe, które powinien spełniać agent/mulitiagent oraz uprawnienia kontrolne zakładu w stosunku do agenta/mulitiagenta powinny być ustalone w wiążącej ich umowie agencyjnej. Metody kontroli jakości tej współpracy i jej zgodności z obowiązującymi przepisami prawa, umowami, wytycznymi powinny być określone w wewnętrznych procedurach zakładu ubezpieczeń. Powyższe zasady w zakresie organizacji i kontroli współpracy powinny odnosić się także do kwestii przetwarzania przez agentów/multiagentów informacji w chmurze obliczeniowej publicznej lub hybrydowej.  Formularze/ankiety mogą stanowić narzędzie do oceny zgodności działalności agentów z wytycznymi Komunikatu. UKNF zauważa jednocześnie, że informacje gromadzone przez zakład ubezpieczeń w formie formularza/ankiety wymagają weryfikacji, przy czym to zakład ubezpieczeń powinien określić zakres, sposób i częstotliwość kontroli ich poprawności, mając na uwadze wdrożone przez niego mechanizmy zarządzania i oceny ryzyka, a także postanowienia umów łączących zakład ubezpieczeń z współpracującymi z nim agentami/multiagentami.

Zakres stosowania Komunikatu określono poprzez wprowadzenie definicji podmiotu nadzorowanego w pkt I.1.1 oraz zamieszczenie matrycy stosowania Komunikatu w pkt IV.4 Komunikatu. 

Zgodnie z definicją przygotowaną na potrzeby Komunikatu, podmiot nadzorowany to podmiot podlegający nadzorowi nad rynkiem finansowym zgodnie z ustawą z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym, art. 1 ust. 2 pkt 1 – 8. 

Art. 5 pkt 8 ustawy z dnia 29 lipca 2005 r. o nadzorze nad rynkiem kapitałowym, wskazanej w art. 1 ust. 2 pkt 4 ustawy z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym, wymienia fundusze inwestycyjne jako podmioty podlegające nadzorowi KNF.

Spółki portfelowe czyli spółki wchodzące w skład portfeli inwestycyjnych funduszy inwestycyjnych, z tytułu wchodzenia w skład tychże portfeli nie są uznawane za podmioty nadzorowane i nie prowadzą w związku z tym działalności nadzorowanej przez KNF. Mogą natomiast być podmiotami nadzorowanymi z innego tytułu prawnego, co wymaga w każdym przypadku weryfikacji.

Jeżeli podmiot jest podmiotem nadzorowanym w rozumieniu definicji podmiotu nadzorowanego zawartej w Komunikacie, następnie określić należy zakres przedmiotowy stosowania Komunikatu, który zawarto w pkt IV.1 i 4 (Matryca stosowania) Komunikatu.

Zakres przedmiotowy stosowania Komunikatu zawarto w pkt IV.1 i 4 (tzw. matryca stosowania) Komunikatu. 

Jeżeli w ramach platformy wykorzystującej usługę chmury obliczeniowej, dochodzić będzie do przetwarzania informacji prawnie chronionych wskazanych w ustawach sektora finansowego, to wystąpi pierwsza z dwóch sytuacji przedmiotowego zakresu stosowania Komunikatu. 

Komunikat powinien być bowiem stosowany w przypadku przetwarzania informacji prawnie chronionych bez względu na to czy dochodzi do outsourcingu szczególnego chmury obliczeniowej w rozumieniu Komunikatu czy występuje outsourcing chmury obliczeniowej inny niż szczególny.

Ustalenia zatem wymaga czy w jakimkolwiek z przypadków dokonywania zgłoszenia typu „whistleblowing”,  informacje prawnie chronione mogą być przetwarzane w chmurze obliczeniowej publicznej lub hybrydowej (w zakresie jej części opartej o chmurę obliczeniową publiczną), co przesądzi o wymogu notyfikacyjnym z Komunikatu.

Komunikat nie jest źródłem prawa. Stanowi zbiór wytycznych organu nadzoru w obszarze przetwarzania informacji w chmurze obliczeniowej. Celem jest ustanowienie jednolitego standardu we wszystkich sektorach rynku finansowego. Jednocześnie Komunikat nie jest podstawą do nałożenia na podmiot nadzorowany dodatkowych obowiązków niż te przewidziane przepisami prawa powszechnie obowiązującego. 

KNF w Komunikacie wyłącza stosowanie wytycznych EBA, EIOPA, ESMA odnoszących się do przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej. Komunikat z dnia 23 stycznia 2020 r. wprowadził w tym zakresie podejście krajowe, które uwzględnia specyfikę rynku finansowego w Polsce oraz istniejące regulacje. EBA, EIOPA, ESMA zostały poinformowane o niestosowaniu wytycznych EBA, EIOPA, ESMA dotyczących outsourcingu w zakresie dostawców usług w chmurze. Należy przy tym podkreślić, że podejście krajowe wyrażone w Komunikacie i wytyczne EBA, ESMA, EIOPA są w dużej mierze ze sobą zbieżne.

W celu zachowania spójności – stosowania tych samych wytycznych względem wszystkich podmiotów nadzorowanych - adresatami Komunikatu są podmioty nadzorowane z całego rynku finansowego (z sektora rynku kapitałowego, bankowego i ubezpieczeniowego).

Stosowanie Komunikatu dotyczy podmiotów nadzorowanych przez KNF. Obszarem stosowania jest Rzeczpospolita Polska (RP). 

Podmiot mający siedzibę w innym państwie UE (spoza RP), w związku z korzystaniem z usług chmury obliczeniowej, może być zobowiązany stosować wytyczne ESAs (EBA, EIOPA, ESMA) lub wytyczne państwa swojej siedziby. 

Sytuacja równoczesnego stosowania wytycznych ESAs oraz Komunikatu może dotyczyć podmiotu z siedzibą spoza RP a prowadzącego działalność w RP. Oddział takiego podmiotu w RP będzie objęty Komunikatem.

Zgodnie z pkt VI.2.8.a) Komunikatu: „prawem właściwym dla umowy jest prawo polskie lub prawo innego państwa członkowskiego Unii Europejskiej, chyba że strony umowy poddadzą umowę prawu państwa trzeciego, a prawo państwa trzeciego pozwala na skuteczne wykonywanie: i. postanowień umowy; ii. wszystkich wymogów prawa polskiego ciążących na podmiocie nadzorowanym; iii. wytycznych organu nadzoru, w tym również w zakresie niniejszego komunikatu”.

Analiza czy prawo państwa trzeciego pozwala na skuteczne wykonywanie postanowień umowy, wymogów polskiego prawa, wytycznych nadzoru powinna być dokonana przed zawarciem umowy. Wyniki analizy powinny zawierać jednoznaczną ocenę oraz zostać utrwalone przez podmiot nadzorowany. Komunikat nie zawiera rekomendacji co do formy utrwalenia takiej analizy. Komunikat odnosi się natomiast do formy utrwalenia  spełnienia przez postanowienia umowy między podmiotem nadzorowanym a dostawcą usług chmury obliczeniowej wymagań prawa obowiązujących podmiot nadzorowany oraz wymagań Komunikatu (pisemna opinia prawna -  pkt VI.2.8.b).

Dostawca X jest dostawcą chmurowym, którego usługa wykorzystuje usługi chmurowe dostarczane przez podmiot Y (sytuacja łańcucha outsourcingowego z pkt I.1.16) b Komunikatu). Podmiot Y to dostawca usług chmury obliczeniowej w rozumieniu definicji z pkt I.8 Komunikatu. Podmiot Y świadczy usługi chmury obliczeniowej będące elementem wykorzystywanym przez podmiot X do świadczenia własnej usługi dla podmiotu nadzorowanego (banku).

Definicja poddostawcy z pkt I.1.17 Komunikatu, wskazuje „i posiada albo może posiadać identyfikowany dostęp do informacji przetwarzanych przez podmiot nadzorowany”. Wykluczenie możliwości dostępu do informacji, powoduje brak wypełnienia definicji poddostawcy przez podmiot.

Definicja łańcucha outsourcingowego dotyczy sytuacji współpracy podmiotów:

• - przy powierzaniu przez dostawcę usług chmury obliczeniowej części czynności (służących dostarczaniu usługi chmury obliczeniowej) swojemu poddostawcy i dalszym (kolejnym) poddostawcom albo 
• - poprzez korzystanie z usług dostawcy chmury obliczeniowej przez podmiot, który wykorzystuje usługę chmury obliczeniowej do świadczenia własnej usługi dla podmiotu nadzorowanego.

Żadna z powyższych relacji nie występuje w wyżej opisanej sytuacji. Przejęcie zadania sprzedaży usługi, które normalnie wykonywane byłoby przez podmiot, który zbudował i utrzymuje usługę chmury obliczeniowej, stanowi innego rodzaju współpracę niż zdefiniowana jako „łańcuch outsourcingowy”.

Zgodnie z zawartą w pkt I. 1.23) Komunikatu definicją, do ujawnienia informacji dochodzi m.in. w sytuacji, gdy informacje są przetwarzane w chmurze obliczeniowej w sposób zaszyfrowany „at rest” lub „in transit”, ale dostęp do kluczy szyfrujących i szyfrowanej tymi kluczami informacji posiada albo może posiadać dostawca usług chmury obliczeniowej lub jego poddostawca w łańcuchu outsourcingowym.

Z powyższej definicji wynika, że istotnym czynnikiem pozwalającym na ocenę, czy dochodzi do ujawnienia informacji jest posiadanie lub możliwość posiadania przez dostawcę usług chmury obliczeniowej (lub jego poddostawcę) dostępu zarówno do kluczy szyfrujących, jak i informacji nimi zaszyfrowanymi. W związku z powyższym fakt, że przechowywane w infrastrukturze dostawcy (lub poddostawcy) klucze szyfrujące są generowane i zarządzane przez podmiot nadzorowany, jest irrelewantny z punktu widzenia uznania, czy w danej sytuacji dochodzi do ujawnienia informacji, przy założeniu, że dostawca (lub poddostawca) mają lub mogą mieć dostęp do szyfrowanych tymi kluczami informacji.

To, że przechowywane w infrastrukturze dostawcy (lub poddostawcy) klucze szyfrujące są generowane i zarządzane przez podmiot nadzorowany nie przesądza o tym, że dostawca nie posiada dostępu do kluczy w stopniu pozwalającym na ich użycie. 

Komunikat rozróżnia generowanie kluczy szyfrujących od zarządzania nimi (m.in. pkt VII.7.7.2 oraz pkt VII.7.7.5 Komunikatu). Przez generowanie kluczy szyfrujących należy rozumieć proces ich tworzenia, dokonywany przez podmiot nadzorowany lub przez dostawcę usług chmury obliczeniowej (gdy z oszacowania ryzyka wynika, że jest to dopuszczalne). Przez zarządzanie kluczami szyfrującymi należy natomiast rozumieć dokonywanie wszelkiego rodzaju operacji lub zestawu operacji na już wygenerowanych kluczach szyfrujących. Jako przykładowe operacje należy wskazać między innymi przechowywanie czy też usuwanie. Zakres czynności objętych określeniem zarządzanie kluczami szyfrującymi obejmuje również ich dostarczanie, , jako że czynność ta polega na przekazaniu uprzednio wygenerowanego klucza podmiotowi trzeciemu. Pojęcia generowania oraz dostarczania kluczy szyfrujących nie są zatem tożsame.

Dla ustalenia czy dostawca usług chmury obliczeniowej w opisanej sytuacji posiada dostęp do kluczy szyfrujących, istotny jest sam fakt dostępu przez dostawcę chmury obliczeniowej (lub poddostawcę) zarówno do przechowywanych danych, jak i odpowiednich kluczy szyfrujących. Nie jest istotne, zarówno jaki podmiot generuje dane klucze szyfrujące, jak i to, czy klucze szyfrujące oraz dane przechowywane są w jednym, czy w paru tenantach. 

Przy ocenie czy dostawca usług chmury obliczeniowej posiada dostęp do kluczy szyfrujących należy również wziąć pod uwagę jaki schemat zarządzania kluczami szyfrującymi (oferowany przez dostawcę usług chmury obliczeniowej) wykorzystuje podmiot nadzorowany oraz poziom bezpieczeństwa tego schematu.

Zgodnie z pkt VII.7.7.2. wskazano, że – po przeprowadzeniu odpowiednich szacunków ryzyka – możliwe jest generowanie kluczy szyfrujących przez dostawcę usług chmury obliczeniowej, a nie przez podmiot nadzorowany. Komunikat w pkt VI .2.5) lit. f) expressis verbis umożliwia powierzenie dostawcy usług (w tym dostawcy usług chmury obliczeniowej) generowanie lub zarządzanie kluczami szyfrującymi, które są używane do szyfrowania informacji przetwarzanej w usługach chmury obliczeniowej innego dostawcy usług chmury obliczeniowej. Powierzenie generowania lub zarządzania kluczami szyfrującymi podmiotowi innemu niż dostawca usługi chmury obliczeniowej nie może jednak być uznane za równoznaczne z generowaniem i zarządzaniem kluczami przez podmiot nadzorowany, jako że jest to wykonywanie przez inny podmiot.

Powierzenie generowania lub zarządzania kluczami szyfrującymi podmiotowi innemu niż dostawca usługi chmury obliczeniowej umożliwia stwierdzenie, że nie zachodzi ujawnienie informacji, o którym mowa w pkt I.1.23) Komunikatu. Jest to jednak możliwe wyłącznie w sytuacji, w której podmiot, któremu powierzono generowanie i zarządzanie kluczami nie ma dostępu do informacji szyfrowanych za ich pomocą, a dostawca usługi chmury obliczeniowej w żadnym momencie nie posiada dostępu do kluczy. Dodatkowo powinny zostać wypracowane odpowiednie rozwiązania systemowe, które uniemożliwią wystąpienie wyżej opisanych sytuacji.

Na wstępie należy wskazać, że zgodnie z pkt VII.7.7.2. Komunikatu podmiot nadzorowany powinien zapewnić, że informacje są szyfrowane kluczami generowanymi oraz zarządzanymi przez podmiot nadzorowany, chyba że z oszacowania ryzyka wynika, iż dopuszczalne lub wskazane jest używanie kluczy szyfrujących generowanych lub zarządzanych przez dostawcę usług chmury obliczeniowej. Komunikat dopuszcza więc obie formy zarządzania kluczami szyfrującymi, pod warunkiem dokonania odpowiedniej oceny ryzyka zgodnie z pkt VI Komunikatu. W przypadku, gdy z szacowania ryzyka wynika konieczność utrzymywania i zarządzania kluczami szyfrującymi przy wykorzystaniu sprzętowych rozwiązań (HSM), to HSM mogą być udostępniane przez dostawcę usług chmury obliczeniowej, przy uwzględnieniu tego elementu w szacowaniu ryzyka. HSM powinny spełniać wymagania minimum FIPS 140-2 Level 2 lub równoważne. Ze względu na istniejące różne modele generowania oraz przechowywania kluczy, podmiot nadzorowany powinien uwzględnić specyfikę poszczególnych rozwiązań w tym zastosowane zabezpieczenia oraz uzyskiwany w ten sposób poziom bezpieczeństwa przetwarzanych informacji.

Przetwarzanie danych w chmurze obliczeniowej może następować w przynajmniej kilku formach IaaS, PaaS i SaaS oraz w związku z tym generować różne rodzaje ryzyk dla danych tam przetwarzanych, co musi zostać uwzględnione w ocenie ryzyka. 

Oceniając ryzyko podmiot nadzorowany powinien ustalić, czy dostawca chmury obliczeniowej (w tym jego poddostawcy) ma lub może mieć dostęp do danych przetwarzanych w chmurze obliczeniowej, w tym na jakich warunkach. Istotny jest każdy rodzaj dostępu w tym chociażby tymczasowe rozszyfrowanie danych w celu wykonania czynności przetwarzania danych i zgodnie z pkt VII.7.7.4 Komunikatu podlega to kontroli a podmiot nadzorowany powinien mieć możliwość przeprowadzenia szczegółowego audytu czynności, które zostały wykonane na danych. Jeśli dostawca usług chmury obliczeniowej posiada nawet czasowy dostęp do danych w celu przetworzenia danych w swojej infrastrukturze, to powinien posługiwać się dedykowanym kluczem lub innymi danymi mogącymi go identyfikować w tym konkretną osobę fizyczną. Informacje te powinny być przechowywane przez okres niezbędny do realizacji umowy (w tym wydłużony o okres wynikający z obowiązków ustawowych po zakończeniu realizacji umowy) i udostępniane podmiotowi.  

Podmiot nadzorowany powinien mieć świadomość oraz w umowie określić zakres oraz czynności dla jakich dostawca ma możliwość użycia klucza a jeżeli tak, to należy przyjąć że dostawca posiada dostęp do kluczy szyfrujących. 

UKNF zwraca uwagę, że zapewnienie poziomu bezpieczeństwa zarządzania kluczami szyfrującymi adekwatnego do przeprowadzonej klasyfikacji danych, stanowi obowiązek podmiotu nadzorowanego, co powinno w szczególności podlegać okresowemu monitoringowi oraz ocenie skuteczności zastosowanych rozwiązań. 

Aby odnieść się do definicji outsourcingu szczególnego chmury obliczeniowej z pkt I.1.11 Komunikatu oraz zakresu stosowania Komunikatu, należy wziąć pod uwagę matrycę stosowania Komunikatu, zawartą w pkt IV.4. Przetwarzanie danych prawnie chronionych w chmurze obliczeniowej wiąże się z obowiązkiem stosowania Komunikatu, zarówno gdy dochodzi do outsourcingu szczególnego chmury obliczeniowej, jak i outsourcingu innego niż szczególny. 

Przy przetwarzaniu danych innych niż prawnie chronione, Komunikat powinien być stosowany przy outsourcingu szczególnym chmury obliczeniowej. 

Zgodnie z art. 45a ust. 8 ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (UFI), za umowy, których przedmiotem są czynności niemające istotnego znaczenia dla prawidłowego wykonywania przez towarzystwo obowiązków określonych przepisami prawa, sytuacji finansowej towarzystwa, ciągłości lub stabilności prowadzenia przez towarzystwo działalności, o której mowa w art. 45, uznaje się w szczególności umowy, których przedmiotem jest: 1) świadczenie na rzecz towarzystwa doradztwa lub innych usług niezwiązanych bezpośrednio z prowadzoną przez towarzystwo działalnością, o której mowa w art. 45, w tym usług: a) doradztwa prawnego, b) szkolenia pracowników, c) prowadzenia ksiąg rachunkowych towarzystwa, d) ochrony osób lub mienia; 2) świadczenie na rzecz towarzystwa usług wystandaryzowanych, w tym usług polegających na dostarczaniu informacji rynkowych lub informacji o notowaniach instrumentów finansowych.

Brak zakwalifikowania usługi jako outsourcing tzw. kwalifikowany na gruncie UFI (z art. 45a ust. 1 UFI), a zakwalifikowanie usługi jako objętej art. 45a ust. 8 UFI powodować będzie, że nie dochodzi do outsourcingu szczególnego chmury obliczeniowej. Wymienione w art. 45a ust. 8 UFI czynności, których katalog jest jedynie przykładowy to np. usługi doradztwa prawnego czy szkolenia pracowników. Nie są one związane z wypełnianiem warunków posiadanego przez podmiot nadzorowany zezwolenia czy  zagrożeniem w sposób istotny wynikom finansowym, niezawodności lub ciągłości działalności nadzorowanej.

Zwrócić należy uwagę, że pojęcie procesu istotnego jest odrębne od pojęcia procesów objętych definicją outsourcingu szczególnego chmury obliczeniowej. O istotności procesów oraz procesach kluczowych i istotnych wspomina wytyczna zawarta w pkt 4.15. rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym w bankach, która wskazuje że: „Bank powinien posiadać dokumentację wewnętrzną opisującą istniejące procesy, a także regularnie oceniać jej adekwatność, uwzględniając aktualność oraz zakres dystrybucji i wykorzystania. Realizowane przez bank procesy powinny być zinwentaryzowane i posiadać przypisanych właścicieli oraz być opisane (np. w formie spójnych procedur) na poziomie szczegółowości odpowiadającym istotności danego procesu dla banku. W dokumentacji należy też wskazać, które z nich są krytyczne z punktu widzenia ciągłości działania instytucji i kluczowe dla realizacji strategii banku.”.

Wymagana jest każdorazowa analiza czy proces realizowany w chmurze nie nosi znamion procesu istotnego. Ocena czy proces jest istotny, a następnie ocena istotności aplikacji dokonywane są w pierwszej kolejności, przy czym pojęcia procesu oraz pojęcia aplikacji są rozłączne. 

Należy wtedy ustalić czy dochodzi do przetwarzania informacji prawnie chronionych. Jeżeli nie są przetwarzane informacje prawnie chronione, brak jest obowiązku stosowania Komunikatu.

Następnie wykonywana jest kwalifikacja, czy spełniona jest definicja outsourcingu szczególnego chmury obliczeniowej w rozumieniu Komunikatu. Zgodnie z matrycą stosowania Komunikatu, outsourcing szczególny chmury obliczeniowej bez względu na to czy są przetwarzane informacje należące do grupy prawnie chronionych, wymaga stosowania Komunikatu.