Pytania i odpowiedzi (Q&A) ws. wątpliwości związanych ze stosowaniem UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej - Komisja Nadzoru Finansowego

Pytania i odpowiedzi (Q&A) ws. wątpliwości związanych ze stosowaniem UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej

Zakres podmiotowy stosowania Komunikatu jest tożsamy z zakresem nadzoru nad rynkiem finansowym sprawowanym przez Komisję Nadzoru Finansowego (dalej „Komisja”) zdefiniowanym w art. 1 ust. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U. z 2020 r. poz. 180, ze zm., dalej: „Ustawa o nadzorze”).

W przypadku przedmiotowego zakresu Komunikatu, podmiot nadzorowany powinien określić – w odniesieniu do każdej planowanej lub już wykorzystywanej usługi chmury obliczeniowej – czy:

  1. przetwarzane są informacje prawnie chronione, oraz czy

  2. czynność przetwarzania może być definiowana jako outsourcing szczególny chmury obliczeniowej zgodnie z definicją outsourcingu szczególnego zawartą w Komunikacie.

Istnieje również obszar działalności podmiotów nadzorowanych nieobjęty zakresem przedmiotowym określonym przez ustawy wskazane w art. 1 Ustawy o nadzorze. 

Obowiązek zapewnienia stosowania się do Komunikatu spoczywa na podmiotach nadzorowanych. Oznacza to, że jeżeli podmiot nadzorowany powierza przetwarzanie informacji określonych w I.1.2 Komunikatu lub zachodzi outsourcing szczególny zgodnie z definicją podaną w Komunikacie, to postanowienia Komunikatu będą miały zastosowanie. Obowiązek zastosowania Komunikatu nie zachodzi w przypadku innego niż umownego przekazania informacji. Brak obowiązku stosowania Komunikatu nie wyklucza zastosowania standardów w nim wymienionych do innych niż umowne formy przekazania informacji.

Zgodnie z art. 5 ustawy z dnia 29 lipca 2005 r. o nadzorze nad rynkiem kapitałowym (t.j. Dz.U. z 2020 r. poz. 1400, dalej: „Ustawa o nadzorze nad rynkiem kapitałowym”): „Nadzorowi Komisji podlegają podmioty prowadzące działalność na rynku kapitałowym na podstawie zezwoleń Komisji lub innego właściwego organu administracji, oraz inne podmioty – w zakresie w jakim ciążą na nich określone w odrębnych przepisach obowiązki związane z uczestnictwem w tym rynku”.

Tym samym art. 5 Ustawy o nadzorze nad rynkiem kapitałowym wskazuje dwie wyżej opisane płaszczyzny, tj. jedną, dotyczącą obowiązków związanych z uczestnictwem w tym rynku, a drugą w związku z działaniem na podstawie zezwolenia. Następnie art. 5 zawiera przykładowy katalog podmiotów nadzorowanych w ramach systemu nadzoru nad rynkiem kapitałowym.

Komunikat może odnosić się jedynie do tych podmiotów i takiej ich działalności, która jest prowadzona na podstawie udzielonego przez KNF zezwolenia – tj. bez takiego zezwolenia nie mogłaby być prowadzona. Należy to rozumieć szeroko. Jeżeli chmura obliczeniowa jest wykorzystywana do czynności mających związek z działalnością regulowaną, to Komunikat ma zastosowanie. 

Nadzór dopuszcza sytuacje, w których dochodzi lub może dojść do przetwarzania danych w chmurze obliczeniowej, co może mieć związek z działalnością regulowaną, ale dane te nie stanowią informacji prawnie chronionych (w rozumieniu przepisów Ustawy o nadzorze), jak też ich przetwarzanie nie będzie stanowiło outsourcingu szczególnego w rozumieniu Komunikatu. 

Odpowiedź na pytanie, czy dany podmiot można uznać za podmiot nadzorowany w rozumieniu Komunikatu zawarta jest w przepisach określających funkcjonowanie poszczególnych segmentów rynku i podmiotów.

Przykładowo, nadzór sprawowany przez Komisję nad spółkami publicznymi ma charakter wyspecjalizowany i w wielu przypadkach ograniczony jest do określonych typów działań na rynku kapitałowym. Komisja sprawuje również nadzór nad podmiotami prowadzącymi działalność wymagającą uzyskania zezwolenia – nadzór sprawowany w tym zakresie przez Komisję jest niezależny od posiadania przez spółkę statusu spółki publicznej. 

W większości przypadków, nadzór Komisji Nadzoru Finansowego nad spółkami publicznymi jest więc wykonywany w przypadku podejmowania przez te spółki określonych czynności związanych z jej funkcjonowaniem na rynku kapitałowym, np. publikacji prospektu emisyjnego, a nie w zakresie innej działalności podmiotu nadzorowanego, o ile nie wymaga ona uzyskania zezwolenia.

Na podstawie art. 2 ust. 1 pkt 2 oraz ust. 2 ustawy z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym i emerytalnym (t.j. Dz.U. z 2019 r. poz. 207), nadzorem ubezpieczeniowym i emerytalnym objęta jest działalność w zakresie pośrednictwa ubezpieczeniowego, o której mowa w przepisach o pośrednictwie ubezpieczeniowym. Na podstawie art. 3 ust. 1 pkt 14 ustawy z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń (t.j. Dz. U. z 2019 r. poz. 1881, dalej: „Ustawa o dystrybucji ubezpieczeń”), przez pośrednictwo ubezpieczeniowe należy rozumieć wykonywanie dystrybucji ubezpieczeń lub dystrybucji reasekuracji przez pośredników ubezpieczeniowych. Zgodnie z art. 3 ust. 1 pkt 15 Ustawy o dystrybucji ubezpieczeń, pośrednikami ubezpieczeniowymi są agenci ubezpieczeniowi, agenci oferujący ubezpieczenia uzupełniające, brokerzy ubezpieczeniowi oraz brokerzy reasekuracyjni, którzy wykonują dystrybucję ubezpieczeń albo dystrybucję reasekuracji za wynagrodzeniem. 

W związku z powyższym, agenci ubezpieczeniowi, przetwarzający w chmurze obliczeniowej informacje prawnie chronione, muszą stosować postanowienia Komunikatu.

Komunikat zgodnie z użytą w nim definicją podmiotu nadzorowanego w I 1. 1 określa krąg podmiotów do których ma on zastosowanie poprzez odesłanie do art. 1 ust. 2 pkt. 1–8 Ustawy o nadzorze, gdzie w pkt 5 przepisu ustawodawca wymienił podmioty działające na podstawie ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2020 r. poz. 794, ze zm.). 

MIP, AISP i PISP są podmiotami nadzorowanymi w rozumieniu Ustawy o nadzorze, dlatego Komunikat ma do nich zastosowanie w całości. Komunikat należy traktować jako sprecyzowanie istniejących wymagań prawnych, bez uszczerbku dla tych wymagań. Ponadto Komunikat jest podejściem krajowym do outsourcingu przetwarzania informacji w chmurze obliczeniowej dla sektora finansowego (model referencyjny). Tym samym wytyczne, zalecenia lub inne dokumenty prezentujące stanowisko europejskich organów nadzorczych, które odnoszą się do przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej, nie mają zastosowania do podmiotów nadzorowanych w zakresie w jakim są sprzeczne z Komunikatem. Obowiązujące w takiej sytuacji jest krajowe podejście określone w Komunikacie.

Częściowe lub proporcjonalne zniesienie danego rodzaju wymogów wskazanych w VII.1. i 2. Komunikatu jest niemożliwe, ponieważ wymogi zostały wskazane jako minimalne. Tym samym wszystkie podmioty nadzorowane są obowiązane do ich stosowania.

Zatem zakres stosowania wymogów zawartych w Komunikacie przez MIP, AISP, PISP odnosi się do właściwych przepisów regulujących dany rodzaj działalności oraz zakresu informacji prawnie chronionych, które przetwarzają te podmioty. Biorąc pod uwagę, żes jednym z podstawowych celów Komunikatu jest ochrona informacji prawnie chronionych UKNF podkreśla, że zasada proporcjonalności nie powinna być interpretowana jako przyzwolenie na zastosowanie przez mniejsze podmioty nadzorowane mniej efektywnych zabezpieczeń przetwarzanych informacji niż te opisane w Komunikacie. Co równie ważne, przepisy określające tajemnice sektorowe (m.in. tajemnica bankowa, tajemnica maklerska, tajemnica ubezpieczeniowa) nie różnicują zakresu odpowiedzialności od skali i zakresu działalności podmiotu, w celu stworzenia jednolitego minimalnego poziomu ochrony. Oznacza to że zasada proporcjonalności znajduje zastosowanie, gdy podmiot wdraża dodatkowe rozwiązania, które nie są objęte Komunikatem i co do których może stosować rozwiązania (w tym zabezpieczenia) proporcjonalne do zakresu i skali wdrożonego rozwiązania.

Komunikat stosuje się do podmiotów podlegających nadzorowi nad rynkiem finansowym zgodnie z art. 1 ust. 2 pkt. 1 – 8 Ustawy o nadzorze. Zgodnie z art. 1 ust. 2 pkt 4 Ustawy o nadzorze, nadzór obejmuje także podmioty wymienione w ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2020 r. poz. 95, ze zm., dalej: „Ustawa o Funduszach”). W odniesieniu do funduszy inwestycyjnych potwierdza to dodatkowo przepis art. 5 pkt 8 Ustawy o nadzorze nad rynkiem kapitałowym wskazujący  wprost, że podmiotem nadzorowanym jest fundusz inwestycyjny. Nadzorowi Komisji Nadzoru Finansowego podlega także stosownie do treści art. 5 pkt 9 ustawy o nadzorze nad rynkiem kapitałowym towarzystwo funduszy inwestycyjnych, które to zgodnie z treścią art. 4 ust. 1 Ustawy o Funduszach zarządza funduszem inwestycyjnym i reprezentuje fundusz inwestycyjny w stosunkach z osobami trzecimi. Fundusz inwestycyjny jest natomiast prawnie określonym, samodzielnym adresatem (podmiotem) norm i obowiązków, niezależnie od tego, że ich wykonywanie przypisano zasadniczo towarzystwu funduszy inwestycyjnych.  

UKNF zwraca uwagę, że Komunikat będzie miał zastosowanie również w sytuacji, gdy czynności wykonywane przez fundusz inwestycyjny zlecane są do wykonywania podmiotowi trzeciemu (np. agentowi transferowemu, który prowadzi na zlecenie funduszu inwestycyjnego rejestr uczestników), a tenże podmiot trzeci będzie wykorzystywał do tej czynności usługę chmury obliczeniowej. W takiej sytuacji, zgodnie z VI.2.7 Komunikatu to fundusz inwestycyjny musi zapewnić, aby dostawca usług chmury obliczeniowej na rzecz podmiotu trzeciego świadczącego usługi dla funduszu inwestycyjnego działał zgodnie z zasadami określonymi Komunikatem oraz bezwzględnie obowiązującymi przepisami prawa. Obowiązek w tym zakresie, jako organ funduszu, realizuje towarzystwo funduszy inwestycyjnych. 

Analogicznie w przypadku wykorzystania przez towarzystwa funduszy inwestycyjnych usługi chmury obliczeniowej publicznej lub hybrydowej (w zakresie jej części opartej o chmurę obliczeniową publiczną), w związku z czynnościami towarzystwa funduszy inwestycyjnych, w odniesieniu do przetwarzania informacji prawnie chronionych oraz outsourcingu szczególnego, Komunikat znajdzie zastosowanie także do tych podmiotów.

Powierzenie wykonywania czynności na podstawie art. 45a ust. 1 Ustawy o Funduszach (np. tzw. serwiserowi) wymaga weryfikacji oraz zapewnienia w odniesieniu do powierzonych czynności, że  powierzenie odbywa się zawsze zgodnie z bezwzględnie obowiązującymi przepisami prawa i zgodnie z Komunikatem, w przypadku: 

  • korzystania przez przedsiębiorcę lub przedsiębiorcę zagranicznego z usługi chmury obliczeniowej publicznej lub hybrydowej w zakresie jej części opartej o chmurę obliczeniową publiczną, 
  • gdy dochodzi do przetwarzania informacji prawnie chronionych lub outsourcingu szczególnego.

Na każdym podmiocie nadzorowanym, zgodnie z definicją wskazaną w art. 1 ust. 2 pkt 1 -8 Ustawy o nadzorze, w tym na banku spółdzielczym, spoczywa obowiązek zapewnienia zgodności funkcjonowania z obowiązującym przepisami prawa w zakresie prowadzonej przez podmiot nadzorowany działalności. Każdy bank spółdzielczy jest odrębną osobą prawną, więc obowiązki administracyjno-prawne, co do zasady, powinien realizować samodzielnie.

Zatem każdy bank spółdzielczy ma obowiązek przygotowania wymaganego Załącznikiem Nr 1 Komunikatu zgłoszenia. Ponadto każdy bank spółdzielczy ma obwiązek zapewnienia zgodności korzystania z chmury obliczeniowej publicznej lub hybrydowej z Komunikatem w oparciu o model referencyjny, o którym mowa w III Komunikatu. Jak wskazano w VI.4.2 Komunikatu, podmiot nadzorowany, na podstawie wyników szacowania ryzyka, zarządza tym ryzykiem, uwzględniając w szczególności stopień złożoności organizacyjnej, podział uprawnień i odpowiedzialności podmiotu nadzorowanego, zawarte porozumienia, oraz analogiczne czynniki występujące w grupie kapitałowej lub organizacji grupowej, lub o charakterze stowarzyszenia, do których podmiot nadzorowany należy. Zatem każdy bank spółdzielczy ma obowiązek samodzielnego przeprowadzenia czynności wskazanych powyżej.

Dopuszczalna jest sytuacja, w której bank zrzeszający przygotowuje model służący do oceny ryzyka przez banki zrzeszone. Jednak to na konkretnym banku spółdzielczym spoczywa obowiązek oceny przygotowanego modelu oraz dostosowanie do specyfiki tego banku, a następnie samodzielnej oceny ryzyka przygotowanej przy pomocy modelu.

Wzór informacji zamieszczony w Załączniku nr 1 Komunikatu wskazuje oczekiwany przez nadzór sposób komunikacji w zakresie outsourcingu chmurowego. Poinformowanie UKNF zgodnie z Załącznikiem nr 1 Komunikatu nie wyłącza obowiązków podmiotu nadzorowanego wyszczególnionych w przepisach powszechnie obowiązujących dotyczących czynności powierzanych do wykonania podmiotom trzecim. Podmiot nadzorowany ma obowiązek identyfikowania przepisów powszechnie obowiązujących, w zakresie prowadzonej przez siebie działalności, szczególnie w zakresie uzyskania zgody nadzoru na określone czynności.

Biorąc pod uwagę charakter zawiadomienia kierowanego do UKNF stanowiącego Załącznik nr 1 Komunikatu, niezbędne jest, aby zawiadomienie zostało podpisane przez osobę uprawnioną do reprezentacji podmiotu zgodnie z przyjętym przez podmiot nadzorowany sposobem reprezentacji.

W części dotyczącej umowy z dostawcą usług chmury obliczeniowej Komunikat wskazuje, że podmiot nadzorowany posiada sformalizowaną umowę (oraz inne dokumenty, w tym oświadczenia, regulaminy, warunki korzystania z usług, także w wersji elektronicznej) z dostawcą usług chmury obliczeniowej, która – tam, gdzie jest to zasadne w odniesieniu do używanych usług i zakresu przetwarzanych informacji – zawiera lub wskazuje źródła informacji, obejmujące m.in. prawo podmiotu nadzorowanego do przeprowadzenia inspekcji w lokalizacjach przetwarzania informacji, w tym prawo do przeprowadzenia audytu drugiej lub trzeciej strony na zlecenie podmiotu nadzorowanego (o ile taka potrzeba wynika z szacowania ryzyka VII.4.1.m Komunikatu).

Nadzór dopuszcza, z uwzględnieniem zastrzeżeń wskazanych w Komunikacie, możliwość wykorzystania przez podmiot nadzorowany (a także przez dostawcę innego niż dostawca usług chmurowych) audytu drugiej lub trzeciej strony, tylko i wyłącznie pod warunkiem, że druga lub trzecia strona zagwarantuje w umowie, że audyt zostanie przeprowadzony na podstawie fizycznych inspekcji w lokalizacjach przetwarzania informacji, a także gdy dostawca chmurowy zapewni w umowie pełną współpracę przy wykonaniu audytu. Nadzór rekomenduje, aby w przypadku korzystania z audytu drugiej i trzeciej strony podmiot nadzorowany zagwarantował sobie prawo do audytu realizowanego wyłącznie na jego rzecz, a nie w wyłącznie w ramach audytu połączonego.


Poniżej przedstawione zostały cztery definicje chmury obliczeniowej, które zostały wyróżnione w Komunikacie. Biorąc pod uwagę wątpliwości interpretacyjne oraz potencjalne sankcje dla podmiotów nadzorowanych wynikające z naruszenia przepisów prawa, co może wynikać z błędnej oceny stanu faktycznego, UKNF wskazuje na kluczowe aspekty pozwalające odróżnić poszczególne rodzaje chmury obliczeniowej.

Chmura obliczeniowa publiczna1
Chmura obliczeniowa prywatna
Chmura obliczeniowa hybrydowa 
Chmura obliczeniowa społecznościowa
Chmura obliczeniowa dostępna do użytku publicznego, będąca w posiadaniu lub bezpośrednio zarządzana przez dostawcę usług chmury obliczeniowej.
Chmura obliczeniowa dostępna do wyłącznego użytku jednego podmiotu nadzorowanego, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot nadzorowany.
Chmura obliczeniowa składająca się z połączenia dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej),  która poprzez standaryzację użycia lub odpowiednią technologię pozwala na przenoszenie czynności przetwarzania informacji pomiędzy chmurami obliczeniowymi, które ją tworzą.Chmura obliczeniowa dostępna do wyłącznego użytku grupy podmiotów nadzorowanych  powiązanych kapitałowo lub na mocy wspólnej umowy o współpracy, ze zdefiniowanymi wspólnymi wymaganiami i zasadami m.in. w obszarze zgodności i bezpieczeństwa przetwarzania informacji, będąca w posiadaniu lub bezpośrednio zarządzana przez podmiot(y) z grupy lub na jego (ich) zlecenie.
Kluczowymi elementami odróżniającym ww. definicje są: 
  1. wyłączność dostępu do chmury obliczeniowej lub jego brak po stronie podmiotu nadzorowanego,

  2. posiadanie lub bezpośrednie zarządzanie. 

Ponadto, jak wskazują powyższe definicje chmury obliczeniowej hybrydowej i społecznościowej, płaszczyzną odróżniającą te rodzaje chmur obliczeniowych jest: 

  1. w przypadku chmury hybrydowej – połączenie dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej) oraz, 

  2. w przypadku chmury społecznościowej – powiązanie kapitałowe lub powiązanie na mocy wspólnej umowy o współpracy; zdefiniowanie wspólnych wymagań i zasad; posiadanie lub bezpośrednie zarządzanie przez podmiot(y) z grupy lub na jego (ich) zlecenie.

Należy wskazać, że podmiot nadzorowany powinien dokonać oceny możliwości przetwarzania w poszczególnych rodzajach chmury obliczeniowej zarówno w kontekście postanowień Komunikatu, jak i przede wszystkim odpowiednich przepisów prawa, które np. w zakresie dopuszczalności łańcucha outsourcingowego mogą być bardziej restrykcyjne niż postanowienia Komunikatu.

______________________
1Poszczególne rodzaje chmur zdefiniowane są kolejno w: I.1.4,5, 6 i 7 Komunikatu.

Chmura obliczeniowa społecznościowa może mieć charakter publiczny albo prywatny. Decydującą kwestią, która odróżnia charakter publiczny od prywatnego chmury społecznościowej, jest posiadanie lub bezpośrednie zarządzanie infrastrukturą. W przypadku kiedy posiadanie lub bezpośrednie zarządzanie infrastrukturą jest po stronie dostawcy usług chmury obliczeniowej to chmura ma charakter publiczny.
Możliwość posiadania lub bezpośredniego zarządzania oznacza w szczególności (choć nie wyłącznie): możliwość wprowadzania zmian w infrastrukturze (w tym wymiana sprzętu, aktualizacja oprogramowania), decydowanie o zasadach fizycznego dostępu do infrastruktury oraz decydowanie o zasadach ochrony fizycznej i logicznej infrastruktury.
W przypadku, gdy podmiot nadzorowany (samodzielnie lub we współpracy z innymi podmiotami nadzorowanymi w ramach umowy o współpracy lub grupy kapitałowej), posiada lub bezpośrednio zarządza infrastrukturą w ramach chmury obliczeniowej społecznościowej, to chmura obliczeniowa ma charakter prywatny. Zatem chmura społecznościowa prywatna nie może być zarządzana przez podmiot trzeci w imieniu podmiotów nadzorowanych.

Jeżeli natomiast dostawca usług chmury obliczeniowej posiada lub bezpośrednio zarządza infrastrukturą w ramach chmury obliczeniowej społecznościowej, to chmura obliczeniowa ma charakter publiczny.

Drugim kluczowym zagadnieniem z perspektywy definicji chmury obliczeniowej jest dostęp podmiotów do danych w chmurze obliczeniowej. Sytuacja niebudząca wątpliwości zachodzi w przypadku oceny różnic między chmurą obliczeniową prywatną oraz publiczną: w pierwszym przypadku mamy do czynienia z dostępem jednego podmiotu do zasobów chmury, natomiast w drugim zasoby są dzielone z innymi podmiotami. 

Osobnym zagadnieniem jest chmura obliczeniowa społecznościowa, która charakteryzuje się istnieniem więzi kapitałowych lub więzi wynikającej z umowy o współpracy między podmiotami korzystającymi z danej chmury. 

Biorąc pod uwagę powyższe należy wskazać, że:

  1. decyzja o możliwości skorzystania przez podmiot nadzorowany z poszczególnych rodzajów chmury obliczeniowej powinna zostać poprzedzona analizą  przepisów prawa,
  2. możliwość i potencjalne warunki skorzystania z wybranego rodzaju chmury obliczeniowej powinna być określona na etapie oceny ryzyka, w szczególności poprzez uwzględnienie wytycznych do klasyfikacji i oceny informacji.

Outsourcing szczególny chmury obliczeniowej oznacza outsourcing chmury obliczeniowej, w ramach którego podmiot nadzorowany powierza dostawcy usług chmury obliczeniowej wykonywanie za pomocą usługi chmury obliczeniowej czynności lub funkcji podmiotu nadzorowanego, których brak lub przerwa w realizacji spowodowana awarią lub naruszeniem zasad bezpieczeństwa usługi chmury obliczeniowej, w ocenie podmiotu nadzorowanego:

a) wpływałaby w sposób istotny na ciągłość wypełniania przez podmiot nadzorowany warunków stanowiących podstawę uprawnienia prowadzenia działalności nadzorowanej lub jej wykonywania, lub 

b) zagrażałaby w sposób istotny wynikom finansowym podmiotu nadzorowanego, niezawodności lub ciągłości wykonywania działalności nadzorowanej.

Biorąc pod uwagę, że „outsourcing szczególny” nie jest terminem ustawowym, w celu wyjaśnienia intencji twórców Komunikatu należy wskazać na kluczowe zagadnienia pozwalające na sprecyzowanie tego terminu. Podstawą definicji zawartej w Komunikacie jest pojęcie krytycznych i istotnych funkcji, działań i procesów podmiotu nadzorowanego z perspektywy wykonywanej przezeń działalności nadzorowanej. 

Istotnym aspektem w kontekście outsourcingu szczególnego, na który powinien zwrócić uwagę podmiot nadzorowany jest również skala ocenianego procesu, która może się zmieniać w trakcie prowadzonej działalności. Proces, który wyjściowo nie był oceniany jako krytyczny i istotny, może z biegiem czasu zwiększyć swoją skalę i przez to powinien zostać zakwalifikowany jako kluczowy
i krytyczny. Z tych względów podmiot nadzorowany powinien w sposób ciągły monitorować jakie procesy i w jakim zakresie są przetwarzane z wykorzystaniem chmury obliczeniowej.

Nie jest celem i praktyką nadzoru UKNF, aby dokonywać analizy wszystkich procesów prowadzonych przez podmiot nadzorowany w kontekście outsourcingu szczególnego. Co więcej, biorąc pod uwagę szeroko rozumianą zasadę proporcjonalności, wskazanie sztywnych ram procesów krytycznych i istotnych mogłoby stanowić działanie dyskryminacyjne, szczególnie biorąc pod uwagę odmienną kulturę organizacyjną poszczególnych jednostek. Powyższa uwaga nie wyłącza możliwości weryfikacji przez UKNF oceny dokonanej przez podmiot nadzorowany w zakresie krytyczności i istotności danego procesu. Dlatego podmiot nadzorowany powinien posiadać udokumentowane uzasadnienie dotyczące kwalifikacji wszystkich procesów i funkcji w kontekście ich krytyczności i istotności.  

Zgodnie z Komunikatem poddostawca to podmiot, który świadczy usługi dla dostawcy usług chmury obliczeniowej, służące dostarczaniu usługi chmury obliczeniowej dla podmiotu nadzorowanego
i posiada albo może posiadać identyfikowany dostęp do informacji przetwarzanych przez podmiot nadzorowany.

W pierwszej kolejności podmiot nadzorowany powinien dokonać oceny dopuszczalności przekazania określonego rodzaju danych w zakresie dopuszczalnego przepisami łańcucha outsourcingowego, tj. ilości podmiotów w nim występujących.

Komunikat nie modyfikuje przepisów prawa. Wskazuje, że poddostawcą jest wyłącznie podmiot, który może posiadać identyfikowany dostęp do informacji w zakresie łańcucha outsourcingowego dopuszczalnego przez przepisy prawa obowiązujące dany podmiot nadzorowany.

Zakres odpowiedzialności insourcerów nie wynika z postanowień Komunikatu, ale z odpowiednich przepisów prawa, które każdy podmiot nadzorowany powinien zidentyfikować przed zawarciem umowy z insourcerem.

Dopuszczalność łańcucha outsourcingowego powinna być postrzegana na dwóch płaszczyznach: 

  1. dopuszczalności powierzenia przetwarzania danych podmiotowi trzeciemu oraz oceny ryzyka ujawnienia informacji w kontekście udostępnienia lub powierzenia informacji prawnie chronionych na każdym etapie łańcucha outsourcingowego, oraz
  2. rzeczywistej kontroli wypełniania wymogów dotyczących powierzenia przetwarzania informacji prawnie chronionych zarówno przez dostawcę chmurowego, jak i innego dostawcę, który korzysta z usług chmurowych do świadczenia usług na rzecz podmiotu nadzorowanego. 
Prowadzenie działalności gospodarczej, także w zakresie nadzorowanym, jest lub może być realizowane z wykorzystaniem powierzenia niektórych czynności podmiotom trzecim. Jednocześnie należy zwrócić uwagę, że outsourcing stanowi wyjątek od ogólnej zasady, zgodnie z którą to podmiot nadzorowany zajmuje się wykonywaniem działalności nadzorowanej. 
Ponadto, z uwagi na charakter prawny przepisów regulujących działalność podmiotów nadzorowanych, dopuszczalność i zakres powierzenia czynności dotyczących informacji prawnie chronionych przez podmiot nadzorowany powinna być interpretowana w ten sposób, że brak zakazu poszczególnych działań nie jest dopuszczeniem do wykonywania określonej działalności.

Tak, Komunikat znajdzie zastosowanie, tak długo jak w chmurze obliczeniowej będą przetwarzane informacje prawnie chronione lub informacje objęte outsourcingiem szczególnym w rozumieniu Komunikatu.

Jeżeli dostawca (inny niż chmurowy) oferuje usługę polegającą na dostarczaniu oprogramowania w modelu SaaS na rzecz wielu podmiotów nadzorowanych, a dane podmiotów są separowane tylko w sposób logiczny, tj. każdy podmiot nadzorowany posiada własną niezależną instancję systemu, to z punktu widzenia podmiotu nadzorowanego, niezależnie od modelu innych usług z których korzysta dostawca (inny niż chmurowy), usługa jest oferowana w modelu chmury publicznej.

Po pierwsze, przed przekazaniem danych dostawcy oprogramowania podmiot nadzorowany powinien upewnić się, czy zakres korzystania przez dostawcę oprogramowania z poddostawców jest zgodny z przepisami prawa powszechnie obowiązującego oraz czy, i w jakim zakresie dopuszczalny jest łańcuch outsourcingowy. Po drugie, (o czym mówi VI.2.7 Komunikatu), podmiot nadzorowany powinien:

a) określić, w jakim zakresie świadczona przez bezpośredniego dostawcę oprogramowania usługa wykorzystuje usługi chmury obliczeniowej, a w szczególności czy dochodzi do przetwarzania informacji prawnie chronionej lub objętej outsourcingiem szczególnym w usłudze chmury obliczeniowej;
b) zależnie od faktycznego wykorzystania usług chmury obliczeniowej oraz zakresu przetwarzanych informacji podmiot nadzorowany powinien zapewnić, że przetwarzanie informacji jest realizowane
z uwzględnieniem postanowień Komunikatu.

W sytuacji, gdy podmiot nadzorowany, dokonując analizy ryzyka i jego oszacowania stwierdzi, że poprzez relację umowną z dostawcą oprogramowania nie jest w stanie zagwarantować realizacji postanowień Komunikatu przez poddostawcę, podmiot nadzorowany powinien:

a)    nawiązać relację umowną z poddostawcą (dostawcą chmurowym), w celu realizacji postanowień Komunikatu (np. w formule umowy trójstronnej);
b)    zrezygnować z usług świadczonych przez dostawcę oprogramowania , jeżeli niezależnie od formy relacji (np. umowy z poddostawcą) nie będzie możliwe zagwarantowanie wykonania postanowień Komunikatu.

Fakt nieposiadania przez podmiot nadzorowany relacji umownych z poddostawcą nie zwalnia z realizacji powinności określonych w VII Komunikatu. Podmiot nadzorowany powinien więc samodzielnie upewnić się, jakie zabezpieczenia prawne, korporacyjne lub logiczne pozwolą na skuteczne zastosowanie postanowień Komunikatu i przepisów prawa. Nadzór rekomenduje, aby w procesie oceny zapewnienia bezpieczeństwa przetwarzania informacji prawnie chronionych i informacji objętych outsourcingiem szczególnym zaangażowany był bezpośrednio dostawca chmurowy.

Zgodnie z VII.5.5.1.d Komunikatu podmiot nadzorowany na podstawie wyników szacowania ryzyka opracowuje udokumentowany plan przetwarzania informacji w chmurze obliczeniowej, który zawiera co najmniej datę zawarcia umowy z dostawcą usług chmury obliczeniowej i referencje do tej umowy (numer, okres obowiązywania, datę przedłużenia lub zmiany, daty rozpoczęcia korzystania z usług), a w przypadku, gdy umowa nie jest jeszcze zawarta – przewidywaną datę jej zawarcia.

W przypadku, gdy umowa nie jest zawierana z dostawcą chmury, lecz z dostawcą usługi korzystającym z chmury obliczeniowej, informacje wymienione w VII.5.5.1.d Komunikatu powinny zostać uwzględnione  w planie przetwarzania.

Przykładowo, jeżeli dostawca usługi korzysta z chmury obliczeniowej, poza wymaganą w umowie adnotacją na temat relacji kontraktowych podmiotu nadzorowanego z dostawcą usługi, należy zawrzeć w niej również elementy z VII.5.5.1.d Komunikatu, wynikające z umowy łączącej dostawcę usługi z dostawcą chmury.

Fakt nieposiadania przez podmiot nadzorowany relacji umownych z dostawcą chmury, nie zwalnia z realizacji powinności określonych w niniejszym punkcie. Dostawca usługi powinien więc zagwarantować istnienie (np. poprzez relewantne zapisy umowne z dostawcą chmury) odpowiedniego okresu testowego przewidzianego do testowania scenariuszy, adekwatnych do występującego ryzyka. Ze względu na fakt, że powyższe odnosi się do informacji przetwarzanych w chmurze obliczeniowej, trudno sobie wyobrazić brak realnego zaangażowania w te procesy dostawcy chmury.

Brak umowy podmiotu nadzorowanego z dostawcą chmury nie zwalnia z obowiązku zaangażowania dostawcy chmurowego, jeżeli jest to niezbędne dla skutecznego, realnego wykonania postanowień
VII.5.5.3 Komunikatu. W przypadku braku umowy z dostawcą chmury, podmiot nadzorowany – dla możliwości skorzystania z usługi dostawcy usługi – powinien upewnić się, czy na podstawie relacji umownych pomiędzy dostawcą usługi, a dostawcą chmury jest możliwe skuteczne i sprawne zrealizowanie planu wycofania się z chmury obliczeniowej (również w sytuacji awaryjnej).

Podmiot nadzorowany powinien zapewnić skuteczną realizację postanowień VII.5.5.4 Komunikatu. Nie jest jednak możliwe kategoryczne i bezwzględne przyjmowanie określonych założeń np. rzeczywistego udziału dostawcy chmury w tworzeniu testów z podmiotem nadzorowanym. Forma aktywności podmiotów uczestniczących w łańcuchu outsourcingowym, uzależniona jest bowiem od szeregu czynników (np. prawdopodobieństwa wystąpienia ryzyka, rodzaju przetwarzanych informacji, czy w końcu postawy podmiotów tworzących łańcuch do zaangażowania się w proces tworzenia planu ciągłości działania).
Przykładowo, dostawca usługi może zagwarantować, w drodze postanowień umownych z dostawcą chmury, realizowanie określonych uprzednio przez podmiot nadzorowany wymogów planu. W takiej sytuacji, dostawca chmury będzie niejako biernym odbiorcą przyjętych ustaleń. Nie jest również wykluczone, że dostawca chmury nawiąże bezpośredni kontakt z podmiotem nadzorowanym w celu optymalizacji procesu tworzenia planu czy precyzyjniejszego określenia oczekiwanych wobec niego zasad postępowania (sformułowanych w umowie pomiędzy dostawcą usługi a dostawcą). Nie sposób także wykluczyć sytuacji, w której sam podmiot nadzorowany uzna, że niezbędne jest zaangażowanie dostawcy chmury do udziału w tworzeniu planu ciągłości działania, niezależnie od tego, że nie jest nawiązana z nim relacja umowna.

UKNF zwraca uwagę, że w przypadku typu łańcucha outsourcingowego przewidzianego w VI.2.7 Komunikatu, ryzyko związane z ciągłością działania związane jest z funkcjonowaniem dwóch podmiotów: dostawcy usługi i dostawcy chmury. Plan ciągłości działania, jakkolwiek możliwy do ujęcia w jednym dokumencie, powinien więc obejmować przypadki utraty kontroli nad przetwarzanymi informacjami jako efekt zaistnienia zdarzeń dotyczących działalności jednego i drugiego dostawcy. Powinien również uwzględniać sposób działania w przypadku jednoczesnego wystąpienia negatywnych zdarzeń po stronie dostawcy usługi i dostawcy chmury, co jest możliwe np. w sytuacji, kiedy oba podmioty należą do jednej grupy kapitałowej.

Czy znalazłeś potrzebną informację?

Czy znalazłeś potrzebną informację?

Czy znalazłeś potrzebną informację?

Uzupełnij pole