Pytania i odpowiedzi (Q&A) w zakresie stosowania Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej - Komisja Nadzoru Finansowego

Pytania i odpowiedzi (Q&A) w zakresie stosowania Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej

Zakres podmiotowy stosowania Komunikatu jest tożsamy z zakresem nadzoru nad rynkiem finansowym sprawowanym przez Komisję Nadzoru Finansowego (dalej „Komisja”) zdefiniowanym w art. 1 ust. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U. z 2020 r. poz. 180, ze zm., dalej: „Ustawa o nadzorze”).

W przypadku przedmiotowego zakresu Komunikatu, podmiot nadzorowany powinien określić – w odniesieniu do każdej planowanej lub już wykorzystywanej usługi chmury obliczeniowej – czy:

  1. przetwarzane są informacje prawnie chronione, oraz czy

  2. czynność przetwarzania może być definiowana jako outsourcing szczególny chmury obliczeniowej zgodnie z definicją outsourcingu szczególnego zawartą w Komunikacie.

Istnieje również obszar działalności podmiotów nadzorowanych nieobjęty zakresem przedmiotowym określonym przez ustawy wskazane w art. 1 Ustawy o nadzorze. 

Obowiązek zapewnienia stosowania się do Komunikatu spoczywa na podmiotach nadzorowanych. Oznacza to, że jeżeli podmiot nadzorowany powierza przetwarzanie informacji określonych w I.1.2 Komunikatu lub zachodzi outsourcing szczególny zgodnie z definicją podaną w Komunikacie, to postanowienia Komunikatu będą miały zastosowanie. Obowiązek zastosowania Komunikatu nie zachodzi w przypadku innego niż umownego przekazania informacji. Brak obowiązku stosowania Komunikatu nie wyklucza zastosowania standardów w nim wymienionych do innych niż umowne formy przekazania informacji.

Zgodnie z art. 5 ustawy z dnia 29 lipca 2005 r. o nadzorze nad rynkiem kapitałowym (t.j. Dz.U. z 2020 r. poz. 1400, dalej: „Ustawa o nadzorze nad rynkiem kapitałowym”): „Nadzorowi Komisji podlegają podmioty prowadzące działalność na rynku kapitałowym na podstawie zezwoleń Komisji lub innego właściwego organu administracji, oraz inne podmioty – w zakresie w jakim ciążą na nich określone w odrębnych przepisach obowiązki związane z uczestnictwem w tym rynku”.

Tym samym art. 5 Ustawy o nadzorze nad rynkiem kapitałowym wskazuje dwie wyżej opisane płaszczyzny, tj. jedną, dotyczącą obowiązków związanych z uczestnictwem w tym rynku, a drugą w związku z działaniem na podstawie zezwolenia. Następnie art. 5 zawiera przykładowy katalog podmiotów nadzorowanych w ramach systemu nadzoru nad rynkiem kapitałowym.

Komunikat może odnosić się jedynie do tych podmiotów i takiej ich działalności, która jest prowadzona na podstawie udzielonego przez KNF zezwolenia – tj. bez takiego zezwolenia nie mogłaby być prowadzona. Należy to rozumieć szeroko. Jeżeli chmura obliczeniowa jest wykorzystywana do czynności mających związek z działalnością regulowaną, to Komunikat ma zastosowanie. 

Nadzór dopuszcza sytuacje, w których dochodzi lub może dojść do przetwarzania danych w chmurze obliczeniowej, co może mieć związek z działalnością regulowaną, ale dane te nie stanowią informacji prawnie chronionych (w rozumieniu przepisów Ustawy o nadzorze), jak też ich przetwarzanie nie będzie stanowiło outsourcingu szczególnego w rozumieniu Komunikatu. 

Odpowiedź na pytanie, czy dany podmiot można uznać za podmiot nadzorowany w rozumieniu Komunikatu zawarta jest w przepisach określających funkcjonowanie poszczególnych segmentów rynku i podmiotów.

Przykładowo, nadzór sprawowany przez Komisję nad spółkami publicznymi ma charakter wyspecjalizowany i w wielu przypadkach ograniczony jest do określonych typów działań na rynku kapitałowym. Komisja sprawuje również nadzór nad podmiotami prowadzącymi działalność wymagającą uzyskania zezwolenia – nadzór sprawowany w tym zakresie przez Komisję jest niezależny od posiadania przez spółkę statusu spółki publicznej. 

W większości przypadków, nadzór Komisji Nadzoru Finansowego nad spółkami publicznymi jest więc wykonywany w przypadku podejmowania przez te spółki określonych czynności związanych z jej funkcjonowaniem na rynku kapitałowym, np. publikacji prospektu emisyjnego, a nie w zakresie innej działalności podmiotu nadzorowanego, o ile nie wymaga ona uzyskania zezwolenia.

Na podstawie art. 2 ust. 1 pkt 2 oraz ust. 2 ustawy z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym i emerytalnym (t.j. Dz.U. z 2019 r. poz. 207), nadzorem ubezpieczeniowym i emerytalnym objęta jest działalność w zakresie pośrednictwa ubezpieczeniowego, o której mowa w przepisach o pośrednictwie ubezpieczeniowym. Na podstawie art. 3 ust. 1 pkt 14 ustawy z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń (t.j. Dz. U. z 2019 r. poz. 1881, dalej: „Ustawa o dystrybucji ubezpieczeń”), przez pośrednictwo ubezpieczeniowe należy rozumieć wykonywanie dystrybucji ubezpieczeń lub dystrybucji reasekuracji przez pośredników ubezpieczeniowych. Zgodnie z art. 3 ust. 1 pkt 15 Ustawy o dystrybucji ubezpieczeń, pośrednikami ubezpieczeniowymi są agenci ubezpieczeniowi, agenci oferujący ubezpieczenia uzupełniające, brokerzy ubezpieczeniowi oraz brokerzy reasekuracyjni, którzy wykonują dystrybucję ubezpieczeń albo dystrybucję reasekuracji za wynagrodzeniem. 

W związku z powyższym, agenci ubezpieczeniowi, przetwarzający w chmurze obliczeniowej informacje prawnie chronione, muszą stosować postanowienia Komunikatu.

Komunikat zgodnie z użytą w nim definicją podmiotu nadzorowanego w I 1. 1 określa krąg podmiotów do których ma on zastosowanie poprzez odesłanie do art. 1 ust. 2 pkt. 1–8 Ustawy o nadzorze, gdzie w pkt 5 przepisu ustawodawca wymienił podmioty działające na podstawie ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2020 r. poz. 794, ze zm.). 

MIP, AISP i PISP są podmiotami nadzorowanymi w rozumieniu Ustawy o nadzorze, dlatego Komunikat ma do nich zastosowanie w całości. Komunikat należy traktować jako sprecyzowanie istniejących wymagań prawnych, bez uszczerbku dla tych wymagań. Ponadto Komunikat jest podejściem krajowym do outsourcingu przetwarzania informacji w chmurze obliczeniowej dla sektora finansowego (model referencyjny). Tym samym wytyczne, zalecenia lub inne dokumenty prezentujące stanowisko europejskich organów nadzorczych, które odnoszą się do przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej, nie mają zastosowania do podmiotów nadzorowanych w zakresie w jakim są sprzeczne z Komunikatem. Obowiązujące w takiej sytuacji jest krajowe podejście określone w Komunikacie.

Częściowe lub proporcjonalne zniesienie danego rodzaju wymogów wskazanych w VII.1. i 2. Komunikatu jest niemożliwe, ponieważ wymogi zostały wskazane jako minimalne. Tym samym wszystkie podmioty nadzorowane są obowiązane do ich stosowania.

Zatem zakres stosowania wymogów zawartych w Komunikacie przez MIP, AISP, PISP odnosi się do właściwych przepisów regulujących dany rodzaj działalności oraz zakresu informacji prawnie chronionych, które przetwarzają te podmioty. Biorąc pod uwagę, żes jednym z podstawowych celów Komunikatu jest ochrona informacji prawnie chronionych UKNF podkreśla, że zasada proporcjonalności nie powinna być interpretowana jako przyzwolenie na zastosowanie przez mniejsze podmioty nadzorowane mniej efektywnych zabezpieczeń przetwarzanych informacji niż te opisane w Komunikacie. Co równie ważne, przepisy określające tajemnice sektorowe (m.in. tajemnica bankowa, tajemnica maklerska, tajemnica ubezpieczeniowa) nie różnicują zakresu odpowiedzialności od skali i zakresu działalności podmiotu, w celu stworzenia jednolitego minimalnego poziomu ochrony. Oznacza to że zasada proporcjonalności znajduje zastosowanie, gdy podmiot wdraża dodatkowe rozwiązania, które nie są objęte Komunikatem i co do których może stosować rozwiązania (w tym zabezpieczenia) proporcjonalne do zakresu i skali wdrożonego rozwiązania.

Komunikat stosuje się do podmiotów podlegających nadzorowi nad rynkiem finansowym zgodnie z art. 1 ust. 2 pkt. 1 – 8 Ustawy o nadzorze. Zgodnie z art. 1 ust. 2 pkt 4 Ustawy o nadzorze, nadzór obejmuje także podmioty wymienione w ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2020 r. poz. 95, ze zm., dalej: „Ustawa o Funduszach”). W odniesieniu do funduszy inwestycyjnych potwierdza to dodatkowo przepis art. 5 pkt 8 Ustawy o nadzorze nad rynkiem kapitałowym wskazujący  wprost, że podmiotem nadzorowanym jest fundusz inwestycyjny. Nadzorowi Komisji Nadzoru Finansowego podlega także stosownie do treści art. 5 pkt 9 ustawy o nadzorze nad rynkiem kapitałowym towarzystwo funduszy inwestycyjnych, które to zgodnie z treścią art. 4 ust. 1 Ustawy o Funduszach zarządza funduszem inwestycyjnym i reprezentuje fundusz inwestycyjny w stosunkach z osobami trzecimi. Fundusz inwestycyjny jest natomiast prawnie określonym, samodzielnym adresatem (podmiotem) norm i obowiązków, niezależnie od tego, że ich wykonywanie przypisano zasadniczo towarzystwu funduszy inwestycyjnych.  

UKNF zwraca uwagę, że Komunikat będzie miał zastosowanie również w sytuacji, gdy czynności wykonywane przez fundusz inwestycyjny zlecane są do wykonywania podmiotowi trzeciemu (np. agentowi transferowemu, który prowadzi na zlecenie funduszu inwestycyjnego rejestr uczestników), a tenże podmiot trzeci będzie wykorzystywał do tej czynności usługę chmury obliczeniowej. W takiej sytuacji, zgodnie z VI.2.7 Komunikatu to fundusz inwestycyjny musi zapewnić, aby dostawca usług chmury obliczeniowej na rzecz podmiotu trzeciego świadczącego usługi dla funduszu inwestycyjnego działał zgodnie z zasadami określonymi Komunikatem oraz bezwzględnie obowiązującymi przepisami prawa. Obowiązek w tym zakresie, jako organ funduszu, realizuje towarzystwo funduszy inwestycyjnych. 

Analogicznie w przypadku wykorzystania przez towarzystwa funduszy inwestycyjnych usługi chmury obliczeniowej publicznej lub hybrydowej (w zakresie jej części opartej o chmurę obliczeniową publiczną), w związku z czynnościami towarzystwa funduszy inwestycyjnych, w odniesieniu do przetwarzania informacji prawnie chronionych oraz outsourcingu szczególnego, Komunikat znajdzie zastosowanie także do tych podmiotów.

Powierzenie wykonywania czynności na podstawie art. 45a ust. 1 Ustawy o Funduszach (np. tzw. serwiserowi) wymaga weryfikacji oraz zapewnienia w odniesieniu do powierzonych czynności, że  powierzenie odbywa się zawsze zgodnie z bezwzględnie obowiązującymi przepisami prawa i zgodnie z Komunikatem, w przypadku: 

  • korzystania przez przedsiębiorcę lub przedsiębiorcę zagranicznego z usługi chmury obliczeniowej publicznej lub hybrydowej w zakresie jej części opartej o chmurę obliczeniową publiczną, 
  • gdy dochodzi do przetwarzania informacji prawnie chronionych lub outsourcingu szczególnego.

Na każdym podmiocie nadzorowanym, zgodnie z definicją wskazaną w art. 1 ust. 2 pkt 1 -8 Ustawy o nadzorze, w tym na banku spółdzielczym, spoczywa obowiązek zapewnienia zgodności funkcjonowania z obowiązującym przepisami prawa w zakresie prowadzonej przez podmiot nadzorowany działalności. Każdy bank spółdzielczy jest odrębną osobą prawną, więc obowiązki administracyjno-prawne, co do zasady, powinien realizować samodzielnie.

Zatem każdy bank spółdzielczy ma obowiązek przygotowania wymaganego Załącznikiem Nr 1 Komunikatu zgłoszenia. Ponadto każdy bank spółdzielczy ma obwiązek zapewnienia zgodności korzystania z chmury obliczeniowej publicznej lub hybrydowej z Komunikatem w oparciu o model referencyjny, o którym mowa w III Komunikatu. Jak wskazano w VI.4.2 Komunikatu, podmiot nadzorowany, na podstawie wyników szacowania ryzyka, zarządza tym ryzykiem, uwzględniając w szczególności stopień złożoności organizacyjnej, podział uprawnień i odpowiedzialności podmiotu nadzorowanego, zawarte porozumienia, oraz analogiczne czynniki występujące w grupie kapitałowej lub organizacji grupowej, lub o charakterze stowarzyszenia, do których podmiot nadzorowany należy. Zatem każdy bank spółdzielczy ma obowiązek samodzielnego przeprowadzenia czynności wskazanych powyżej.

Dopuszczalna jest sytuacja, w której bank zrzeszający przygotowuje model służący do oceny ryzyka przez banki zrzeszone. Jednak to na konkretnym banku spółdzielczym spoczywa obowiązek oceny przygotowanego modelu oraz dostosowanie do specyfiki tego banku, a następnie samodzielnej oceny ryzyka przygotowanej przy pomocy modelu.

Wzór informacji zamieszczony w Załączniku nr 1 Komunikatu wskazuje oczekiwany przez nadzór sposób komunikacji w zakresie outsourcingu chmurowego. Poinformowanie UKNF zgodnie z Załącznikiem nr 1 Komunikatu nie wyłącza obowiązków podmiotu nadzorowanego wyszczególnionych w przepisach powszechnie obowiązujących dotyczących czynności powierzanych do wykonania podmiotom trzecim. Podmiot nadzorowany ma obowiązek identyfikowania przepisów powszechnie obowiązujących, w zakresie prowadzonej przez siebie działalności, szczególnie w zakresie uzyskania zgody nadzoru na określone czynności.

Biorąc pod uwagę charakter zawiadomienia kierowanego do UKNF stanowiącego Załącznik nr 1 Komunikatu, niezbędne jest, aby zawiadomienie zostało podpisane przez osobę uprawnioną do reprezentacji podmiotu zgodnie z przyjętym przez podmiot nadzorowany sposobem reprezentacji.

W części dotyczącej umowy z dostawcą usług chmury obliczeniowej Komunikat wskazuje, że podmiot nadzorowany posiada sformalizowaną umowę (oraz inne dokumenty, w tym oświadczenia, regulaminy, warunki korzystania z usług, także w wersji elektronicznej) z dostawcą usług chmury obliczeniowej, która – tam, gdzie jest to zasadne w odniesieniu do używanych usług i zakresu przetwarzanych informacji – zawiera lub wskazuje źródła informacji, obejmujące m.in. prawo podmiotu nadzorowanego do przeprowadzenia inspekcji w lokalizacjach przetwarzania informacji, w tym prawo do przeprowadzenia audytu drugiej lub trzeciej strony na zlecenie podmiotu nadzorowanego (o ile taka potrzeba wynika z szacowania ryzyka VII.4.1.m Komunikatu).

Nadzór dopuszcza, z uwzględnieniem zastrzeżeń wskazanych w Komunikacie, możliwość wykorzystania przez podmiot nadzorowany (a także przez dostawcę innego niż dostawca usług chmurowych) audytu drugiej lub trzeciej strony, tylko i wyłącznie pod warunkiem, że druga lub trzecia strona zagwarantuje w umowie, że audyt zostanie przeprowadzony na podstawie fizycznych inspekcji w lokalizacjach przetwarzania informacji, a także gdy dostawca chmurowy zapewni w umowie pełną współpracę przy wykonaniu audytu. Nadzór rekomenduje, aby w przypadku korzystania z audytu drugiej i trzeciej strony podmiot nadzorowany zagwarantował sobie prawo do audytu realizowanego wyłącznie na jego rzecz, a nie w wyłącznie w ramach audytu połączonego.


Poniżej przedstawione zostały cztery definicje chmury obliczeniowej, które zostały wyróżnione w Komunikacie. Biorąc pod uwagę wątpliwości interpretacyjne oraz potencjalne sankcje dla podmiotów nadzorowanych wynikające z naruszenia przepisów prawa, co może wynikać z błędnej oceny stanu faktycznego, UKNF wskazuje na kluczowe aspekty pozwalające odróżnić poszczególne rodzaje chmury obliczeniowej.

Chmura obliczeniowa publiczna1
Chmura obliczeniowa prywatna
Chmura obliczeniowa hybrydowa 
Chmura obliczeniowa społecznościowa
Chmura obliczeniowa dostępna do użytku publicznego, będąca w posiadaniu lub bezpośrednio zarządzana przez dostawcę usług chmury obliczeniowej.
Chmura obliczeniowa dostępna do wyłącznego użytku jednego podmiotu nadzorowanego, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot nadzorowany.
Chmura obliczeniowa składająca się z połączenia dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej),  która poprzez standaryzację użycia lub odpowiednią technologię pozwala na przenoszenie czynności przetwarzania informacji pomiędzy chmurami obliczeniowymi, które ją tworzą.Chmura obliczeniowa dostępna do wyłącznego użytku grupy podmiotów nadzorowanych  powiązanych kapitałowo lub na mocy wspólnej umowy o współpracy, ze zdefiniowanymi wspólnymi wymaganiami i zasadami m.in. w obszarze zgodności i bezpieczeństwa przetwarzania informacji, będąca w posiadaniu lub bezpośrednio zarządzana przez podmiot(y) z grupy lub na jego (ich) zlecenie.
Kluczowymi elementami odróżniającym ww. definicje są: 
  1. wyłączność dostępu do chmury obliczeniowej lub jego brak po stronie podmiotu nadzorowanego,

  2. posiadanie lub bezpośrednie zarządzanie. 

Ponadto, jak wskazują powyższe definicje chmury obliczeniowej hybrydowej i społecznościowej, płaszczyzną odróżniającą te rodzaje chmur obliczeniowych jest: 

  1. w przypadku chmury hybrydowej – połączenie dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej) oraz, 

  2. w przypadku chmury społecznościowej – powiązanie kapitałowe lub powiązanie na mocy wspólnej umowy o współpracy; zdefiniowanie wspólnych wymagań i zasad; posiadanie lub bezpośrednie zarządzanie przez podmiot(y) z grupy lub na jego (ich) zlecenie.

Należy wskazać, że podmiot nadzorowany powinien dokonać oceny możliwości przetwarzania w poszczególnych rodzajach chmury obliczeniowej zarówno w kontekście postanowień Komunikatu, jak i przede wszystkim odpowiednich przepisów prawa, które np. w zakresie dopuszczalności łańcucha outsourcingowego mogą być bardziej restrykcyjne niż postanowienia Komunikatu.

______________________
1Poszczególne rodzaje chmur zdefiniowane są kolejno w: I.1.4,5, 6 i 7 Komunikatu.

Chmura obliczeniowa społecznościowa może mieć charakter publiczny albo prywatny. Decydującą kwestią, która odróżnia charakter publiczny od prywatnego chmury społecznościowej, jest posiadanie lub bezpośrednie zarządzanie infrastrukturą. W przypadku kiedy posiadanie lub bezpośrednie zarządzanie infrastrukturą jest po stronie dostawcy usług chmury obliczeniowej to chmura ma charakter publiczny.
Możliwość posiadania lub bezpośredniego zarządzania oznacza w szczególności (choć nie wyłącznie): możliwość wprowadzania zmian w infrastrukturze (w tym wymiana sprzętu, aktualizacja oprogramowania), decydowanie o zasadach fizycznego dostępu do infrastruktury oraz decydowanie o zasadach ochrony fizycznej i logicznej infrastruktury.
W przypadku, gdy podmiot nadzorowany (samodzielnie lub we współpracy z innymi podmiotami nadzorowanymi w ramach umowy o współpracy lub grupy kapitałowej), posiada lub bezpośrednio zarządza infrastrukturą w ramach chmury obliczeniowej społecznościowej, to chmura obliczeniowa ma charakter prywatny. Zatem chmura społecznościowa prywatna nie może być zarządzana przez podmiot trzeci w imieniu podmiotów nadzorowanych.

Jeżeli natomiast dostawca usług chmury obliczeniowej posiada lub bezpośrednio zarządza infrastrukturą w ramach chmury obliczeniowej społecznościowej, to chmura obliczeniowa ma charakter publiczny.

Drugim kluczowym zagadnieniem z perspektywy definicji chmury obliczeniowej jest dostęp podmiotów do danych w chmurze obliczeniowej. Sytuacja niebudząca wątpliwości zachodzi w przypadku oceny różnic między chmurą obliczeniową prywatną oraz publiczną: w pierwszym przypadku mamy do czynienia z dostępem jednego podmiotu do zasobów chmury, natomiast w drugim zasoby są dzielone z innymi podmiotami. 

Osobnym zagadnieniem jest chmura obliczeniowa społecznościowa, która charakteryzuje się istnieniem więzi kapitałowych lub więzi wynikającej z umowy o współpracy między podmiotami korzystającymi z danej chmury. 

Biorąc pod uwagę powyższe należy wskazać, że:

  1. decyzja o możliwości skorzystania przez podmiot nadzorowany z poszczególnych rodzajów chmury obliczeniowej powinna zostać poprzedzona analizą  przepisów prawa,
  2. możliwość i potencjalne warunki skorzystania z wybranego rodzaju chmury obliczeniowej powinna być określona na etapie oceny ryzyka, w szczególności poprzez uwzględnienie wytycznych do klasyfikacji i oceny informacji.

Outsourcing szczególny chmury obliczeniowej oznacza outsourcing chmury obliczeniowej, w ramach którego podmiot nadzorowany powierza dostawcy usług chmury obliczeniowej wykonywanie za pomocą usługi chmury obliczeniowej czynności lub funkcji podmiotu nadzorowanego, których brak lub przerwa w realizacji spowodowana awarią lub naruszeniem zasad bezpieczeństwa usługi chmury obliczeniowej, w ocenie podmiotu nadzorowanego:

a) wpływałaby w sposób istotny na ciągłość wypełniania przez podmiot nadzorowany warunków stanowiących podstawę uprawnienia prowadzenia działalności nadzorowanej lub jej wykonywania, lub 

b) zagrażałaby w sposób istotny wynikom finansowym podmiotu nadzorowanego, niezawodności lub ciągłości wykonywania działalności nadzorowanej.

Biorąc pod uwagę, że „outsourcing szczególny” nie jest terminem ustawowym, w celu wyjaśnienia intencji twórców Komunikatu należy wskazać na kluczowe zagadnienia pozwalające na sprecyzowanie tego terminu. Podstawą definicji zawartej w Komunikacie jest pojęcie krytycznych i istotnych funkcji, działań i procesów podmiotu nadzorowanego z perspektywy wykonywanej przezeń działalności nadzorowanej. 

Istotnym aspektem w kontekście outsourcingu szczególnego, na który powinien zwrócić uwagę podmiot nadzorowany jest również skala ocenianego procesu, która może się zmieniać w trakcie prowadzonej działalności. Proces, który wyjściowo nie był oceniany jako krytyczny i istotny, może z biegiem czasu zwiększyć swoją skalę i przez to powinien zostać zakwalifikowany jako kluczowy
i krytyczny. Z tych względów podmiot nadzorowany powinien w sposób ciągły monitorować jakie procesy i w jakim zakresie są przetwarzane z wykorzystaniem chmury obliczeniowej.

Nie jest celem i praktyką nadzoru UKNF, aby dokonywać analizy wszystkich procesów prowadzonych przez podmiot nadzorowany w kontekście outsourcingu szczególnego. Co więcej, biorąc pod uwagę szeroko rozumianą zasadę proporcjonalności, wskazanie sztywnych ram procesów krytycznych i istotnych mogłoby stanowić działanie dyskryminacyjne, szczególnie biorąc pod uwagę odmienną kulturę organizacyjną poszczególnych jednostek. Powyższa uwaga nie wyłącza możliwości weryfikacji przez UKNF oceny dokonanej przez podmiot nadzorowany w zakresie krytyczności i istotności danego procesu. Dlatego podmiot nadzorowany powinien posiadać udokumentowane uzasadnienie dotyczące kwalifikacji wszystkich procesów i funkcji w kontekście ich krytyczności i istotności.  

Zgodnie z Komunikatem poddostawca to podmiot, który świadczy usługi dla dostawcy usług chmury obliczeniowej, służące dostarczaniu usługi chmury obliczeniowej dla podmiotu nadzorowanego
i posiada albo może posiadać identyfikowany dostęp do informacji przetwarzanych przez podmiot nadzorowany.

W pierwszej kolejności podmiot nadzorowany powinien dokonać oceny dopuszczalności przekazania określonego rodzaju danych w zakresie dopuszczalnego przepisami łańcucha outsourcingowego, tj. ilości podmiotów w nim występujących.

Komunikat nie modyfikuje przepisów prawa. Wskazuje, że poddostawcą jest wyłącznie podmiot, który może posiadać identyfikowany dostęp do informacji w zakresie łańcucha outsourcingowego dopuszczalnego przez przepisy prawa obowiązujące dany podmiot nadzorowany.

Zakres odpowiedzialności insourcerów nie wynika z postanowień Komunikatu, ale z odpowiednich przepisów prawa, które każdy podmiot nadzorowany powinien zidentyfikować przed zawarciem umowy z insourcerem.

Dopuszczalność łańcucha outsourcingowego powinna być postrzegana na dwóch płaszczyznach: 

  1. dopuszczalności powierzenia przetwarzania danych podmiotowi trzeciemu oraz oceny ryzyka ujawnienia informacji w kontekście udostępnienia lub powierzenia informacji prawnie chronionych na każdym etapie łańcucha outsourcingowego, oraz
  2. rzeczywistej kontroli wypełniania wymogów dotyczących powierzenia przetwarzania informacji prawnie chronionych zarówno przez dostawcę chmurowego, jak i innego dostawcę, który korzysta z usług chmurowych do świadczenia usług na rzecz podmiotu nadzorowanego. 
Prowadzenie działalności gospodarczej, także w zakresie nadzorowanym, jest lub może być realizowane z wykorzystaniem powierzenia niektórych czynności podmiotom trzecim. Jednocześnie należy zwrócić uwagę, że outsourcing stanowi wyjątek od ogólnej zasady, zgodnie z którą to podmiot nadzorowany zajmuje się wykonywaniem działalności nadzorowanej. 
Ponadto, z uwagi na charakter prawny przepisów regulujących działalność podmiotów nadzorowanych, dopuszczalność i zakres powierzenia czynności dotyczących informacji prawnie chronionych przez podmiot nadzorowany powinna być interpretowana w ten sposób, że brak zakazu poszczególnych działań nie jest dopuszczeniem do wykonywania określonej działalności.

Tak, Komunikat znajdzie zastosowanie, tak długo jak w chmurze obliczeniowej będą przetwarzane informacje prawnie chronione lub informacje objęte outsourcingiem szczególnym w rozumieniu Komunikatu.

Jeżeli dostawca (inny niż chmurowy) oferuje usługę polegającą na dostarczaniu oprogramowania w modelu SaaS na rzecz wielu podmiotów nadzorowanych, a dane podmiotów są separowane tylko w sposób logiczny, tj. każdy podmiot nadzorowany posiada własną niezależną instancję systemu, to z punktu widzenia podmiotu nadzorowanego, niezależnie od modelu innych usług z których korzysta dostawca (inny niż chmurowy), usługa jest oferowana w modelu chmury publicznej.

Po pierwsze, przed przekazaniem danych dostawcy oprogramowania podmiot nadzorowany powinien upewnić się, czy zakres korzystania przez dostawcę oprogramowania z poddostawców jest zgodny z przepisami prawa powszechnie obowiązującego oraz czy, i w jakim zakresie dopuszczalny jest łańcuch outsourcingowy. Po drugie, (o czym mówi VI.2.7 Komunikatu), podmiot nadzorowany powinien:

a) określić, w jakim zakresie świadczona przez bezpośredniego dostawcę oprogramowania usługa wykorzystuje usługi chmury obliczeniowej, a w szczególności czy dochodzi do przetwarzania informacji prawnie chronionej lub objętej outsourcingiem szczególnym w usłudze chmury obliczeniowej;
b) zależnie od faktycznego wykorzystania usług chmury obliczeniowej oraz zakresu przetwarzanych informacji podmiot nadzorowany powinien zapewnić, że przetwarzanie informacji jest realizowane
z uwzględnieniem postanowień Komunikatu.

W sytuacji, gdy podmiot nadzorowany, dokonując analizy ryzyka i jego oszacowania stwierdzi, że poprzez relację umowną z dostawcą oprogramowania nie jest w stanie zagwarantować realizacji postanowień Komunikatu przez poddostawcę, podmiot nadzorowany powinien:

a)    nawiązać relację umowną z poddostawcą (dostawcą chmurowym), w celu realizacji postanowień Komunikatu (np. w formule umowy trójstronnej);
b)    zrezygnować z usług świadczonych przez dostawcę oprogramowania , jeżeli niezależnie od formy relacji (np. umowy z poddostawcą) nie będzie możliwe zagwarantowanie wykonania postanowień Komunikatu.

Fakt nieposiadania przez podmiot nadzorowany relacji umownych z poddostawcą nie zwalnia z realizacji powinności określonych w VII Komunikatu. Podmiot nadzorowany powinien więc samodzielnie upewnić się, jakie zabezpieczenia prawne, korporacyjne lub logiczne pozwolą na skuteczne zastosowanie postanowień Komunikatu i przepisów prawa. Nadzór rekomenduje, aby w procesie oceny zapewnienia bezpieczeństwa przetwarzania informacji prawnie chronionych i informacji objętych outsourcingiem szczególnym zaangażowany był bezpośrednio dostawca chmurowy.

Zgodnie z VII.5.5.1.d Komunikatu podmiot nadzorowany na podstawie wyników szacowania ryzyka opracowuje udokumentowany plan przetwarzania informacji w chmurze obliczeniowej, który zawiera co najmniej datę zawarcia umowy z dostawcą usług chmury obliczeniowej i referencje do tej umowy (numer, okres obowiązywania, datę przedłużenia lub zmiany, daty rozpoczęcia korzystania z usług), a w przypadku, gdy umowa nie jest jeszcze zawarta – przewidywaną datę jej zawarcia.

W przypadku, gdy umowa nie jest zawierana z dostawcą chmury, lecz z dostawcą usługi korzystającym z chmury obliczeniowej, informacje wymienione w VII.5.5.1.d Komunikatu powinny zostać uwzględnione  w planie przetwarzania.

Przykładowo, jeżeli dostawca usługi korzysta z chmury obliczeniowej, poza wymaganą w umowie adnotacją na temat relacji kontraktowych podmiotu nadzorowanego z dostawcą usługi, należy zawrzeć w niej również elementy z VII.5.5.1.d Komunikatu, wynikające z umowy łączącej dostawcę usługi z dostawcą chmury.

Fakt nieposiadania przez podmiot nadzorowany relacji umownych z dostawcą chmury, nie zwalnia z realizacji powinności określonych w niniejszym punkcie. Dostawca usługi powinien więc zagwarantować istnienie (np. poprzez relewantne zapisy umowne z dostawcą chmury) odpowiedniego okresu testowego przewidzianego do testowania scenariuszy, adekwatnych do występującego ryzyka. Ze względu na fakt, że powyższe odnosi się do informacji przetwarzanych w chmurze obliczeniowej, trudno sobie wyobrazić brak realnego zaangażowania w te procesy dostawcy chmury.

Brak umowy podmiotu nadzorowanego z dostawcą chmury nie zwalnia z obowiązku zaangażowania dostawcy chmurowego, jeżeli jest to niezbędne dla skutecznego, realnego wykonania postanowień
VII.5.5.3 Komunikatu. W przypadku braku umowy z dostawcą chmury, podmiot nadzorowany – dla możliwości skorzystania z usługi dostawcy usługi – powinien upewnić się, czy na podstawie relacji umownych pomiędzy dostawcą usługi, a dostawcą chmury jest możliwe skuteczne i sprawne zrealizowanie planu wycofania się z chmury obliczeniowej (również w sytuacji awaryjnej).

Podmiot nadzorowany powinien zapewnić skuteczną realizację postanowień VII.5.5.4 Komunikatu. Nie jest jednak możliwe kategoryczne i bezwzględne przyjmowanie określonych założeń np. rzeczywistego udziału dostawcy chmury w tworzeniu testów z podmiotem nadzorowanym. Forma aktywności podmiotów uczestniczących w łańcuchu outsourcingowym, uzależniona jest bowiem od szeregu czynników (np. prawdopodobieństwa wystąpienia ryzyka, rodzaju przetwarzanych informacji, czy w końcu postawy podmiotów tworzących łańcuch do zaangażowania się w proces tworzenia planu ciągłości działania).
Przykładowo, dostawca usługi może zagwarantować, w drodze postanowień umownych z dostawcą chmury, realizowanie określonych uprzednio przez podmiot nadzorowany wymogów planu. W takiej sytuacji, dostawca chmury będzie niejako biernym odbiorcą przyjętych ustaleń. Nie jest również wykluczone, że dostawca chmury nawiąże bezpośredni kontakt z podmiotem nadzorowanym w celu optymalizacji procesu tworzenia planu czy precyzyjniejszego określenia oczekiwanych wobec niego zasad postępowania (sformułowanych w umowie pomiędzy dostawcą usługi a dostawcą). Nie sposób także wykluczyć sytuacji, w której sam podmiot nadzorowany uzna, że niezbędne jest zaangażowanie dostawcy chmury do udziału w tworzeniu planu ciągłości działania, niezależnie od tego, że nie jest nawiązana z nim relacja umowna.

UKNF zwraca uwagę, że w przypadku typu łańcucha outsourcingowego przewidzianego w VI.2.7 Komunikatu, ryzyko związane z ciągłością działania związane jest z funkcjonowaniem dwóch podmiotów: dostawcy usługi i dostawcy chmury. Plan ciągłości działania, jakkolwiek możliwy do ujęcia w jednym dokumencie, powinien więc obejmować przypadki utraty kontroli nad przetwarzanymi informacjami jako efekt zaistnienia zdarzeń dotyczących działalności jednego i drugiego dostawcy. Powinien również uwzględniać sposób działania w przypadku jednoczesnego wystąpienia negatywnych zdarzeń po stronie dostawcy usługi i dostawcy chmury, co jest możliwe np. w sytuacji, kiedy oba podmioty należą do jednej grupy kapitałowej.

UKNF pozytywnie ocenia inicjatywy standaryzacji wdrożenia rozwiązań chmurowych podejmowane przez zrzeszenia sektora finansowego lub inne podejmowane w ramach ograniczonego kręgu podmiotów np. w ramach zrzeszeń banków spółdzielczych. Jednak okoliczności podjęcia dialogu z UKNF i przesłania do zaopiniowania standardu wdrożenia chmury obliczeniowej nie mogą być utożsamiane z akceptacją lub wyrażeniem przez UKNF wiążącej opinii w zakresie postanowień standardu. 

UKNF nie ma umocowania do wydawania wiążących opinii dotyczących ogólnych standardów branżowych. Ponadto każdy przypadek wdrożenia chmury powinien zostać oceniony indywidualne z uwagi na  okoliczności dotyczące konkretnego przypadku.

UKNF wskazuje, że standardy wdrożenia chmury, powinny opierać się na przepisach prawa, Komunikacie oraz odnosić się do sektora finansowego, którego dotyczą. W szczególności definiowanie poszczególnych pojęć powinno uwzględniać przepisy prawa właściwe dla danego sektora. UKNF zwraca  zatem uwagę na konieczność używania definicji zgodnych z przepisami powszechnie obwiązującego prawa.

UKNF wyjaśnia, że posiadanie chmury obliczeniowej nie oznacza, że podmiot nadzorowany powinien być jednocześnie jej właścicielem. Podmiot nadzorowany powinien natomiast zapewnić bezpieczne, pod względem prawnym i faktycznym, posiadanie chmury obliczeniowej przez okres korzystania z niej, uwzględniając przy tym czas potrzebny do bezpiecznego zrealizowania migracji do innej chmury obliczeniowej lub wycofania się z chmury obliczeniowej do infrastruktury on premise

 UKNF wyjaśnia, że bezpośrednie zarządzanie chmurą obliczeniową oznacza, że podmiot nadzorowany bez udziału podmiotu trzeciego kontroluje  chmurę obliczeniową w ramach zasobów personalnych pozostających w jego wyłącznej dyspozycji i pod jego kontrolą. Osoby zarządzające chmurą obliczeniową powinny wykonywać czynności na rzecz podmiotu nadzorowanego w relacji bezpośredniej,  tj. bez pośredniczenia podmiotów trzecich np.: kadra IT nie może świadczyć usług na rzecz podmiotu nadzorowanego poprzez agencję pracy, wykonywanie czynności nie może się odbywać poprzez oddelegowanie konkretnej osoby przez spółkę informatyczną, z którą podmiot nadzorowany ma podpisaną umowę na obsługę IT, lub oddelegowanie osoby przez spółkę IT w ramach grupy kapitałowej, do której należy podmiot nadzorowany.

Komunikat stosuje się w przypadku korzystania przez podmiot nadzorowany z chmury publicznej lub hybrydowej (w zakresie jej części opartej o chmurę publiczną), jeżeli przetwarzane informacje należą do informacji prawnie chronionych lub przetwarzanie informacji ma charakter outsourcingu szczególnego w rozumieniu Komunikatu; wymóg stosowania Komunikatu nie obwiązuje tylko w przypadku korzystania z chmury prywatnej. Chmura obliczeniowa prywatna to chmura obliczeniowa dostępna do wyłącznego użytku jednego podmiotu nadzorowanego, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot nadzorowany. 

W szczególność gdy:

  • miejscem fizycznej instalacji infrastruktury IT jest serwerownia własna podmiotu nadzorowanego lub wybrane przez podmiot nadzorowany centrum przetwarzania danych, oraz 
  • zarządzanie chmurą jest zdalne, wykonywane poprzez bezpieczne połączenie internetowe przez dostawcę usługi chmury obliczeniowej lub podmiot trzeci, 

to tak skonfigurowana usługa jest świadczona przez dostawcę usługi chmury obliczeniowej jako usługa chmury publicznej.

W związku z powyższym Komunikat będzie miał zastosowanie, ponieważ tylko bezpośrednie zarządzanie chmurą przez podmiot nadzorowany (wraz z wyłącznym użytkowaniem infrastruktury w modelu IaaS, z wyłączeniem PaaS, SaaS) skutkuje uznaniem usługi za chmurę prywatną. 

UKNF zwraca uwagę, że niektórzy dostawcy usługi chmury obliczeniowej mogą korzystać z określeń wywołujących jedynie skojarzenie, że dana usługa ma cechy chmury prywatnej. Z tego względu podmiot nadzorowany, przed podjęciem decyzji o skorzystaniu z usługi chmurowej, powinien upewnić się w jakim modelu świadczona jest usługa (publicznym czy prywatnym).

W szczególności gdy:
  • infrastruktura chmury nie jest przeznaczona do wyłącznego użytku jednego podmiotu, oraz
  • podmiot nadzorowany może utworzyć wirtualną chmurę prywatną na skalowalnej infrastrukturze dostawcy usług chmury obliczeniowej, i
  • dostawca usług chmury obliczeniowej posługuje się w działaniach marketingowych określeniami takimi jak np. Virtual Private Cloud,

to tak skonfigurowana usługa jest świadczona jako chmura publiczna. W takim przypadku Komunikat będzie miał zastosowanie, ponieważ tylko posiadanie i bezpośrednie zarządzanie chmurą przez podmiot nadzorowany (wraz z wyłącznym użytkowaniem infrastruktury w modelu IaaS, z wyłączeniem PaaS, SaaS) skutkuje uznaniem usługi za chmurę prywatną.

UKNF podkreśla, że korzystanie z chmury obliczeniowej w opisany powyżej sposób jest dozwolone, jednak korzystanie z takich usług wiąże się z obowiązkiem stosowania Komunikatu przez podmioty nadzorowane.

W ocenie UKNF korzystanie przez podmiot nadzorowany z oferowanych na rynku usług/produktów w postaci serwerów wirtualnych z gwarancją zasobów (ang. VPS – Virtual Private Server), które polegają na wirtualnym podziale maszyny fizycznej na kilka mniejszych serwerów wirtualnych, nie może zostać uznane za korzystanie z chmury prywatnej w rozumieniu Komunikatu. Korzystając z serwerów wirtualnych, podmiot nadzorowany nie zarządza bezpośrednio infrastrukturą chmurową, na której funkcjonuje serwer wirtualny.

W przypadku planowania przez podmiot nadzorowany korzystania z usług podmiotu trzeciego lub świadczenia na rzecz podmiotu nadzorowanego przez podmiot trzeci usług przy wykorzystaniu chmury obliczeniowej prywatnej, podmiot nadzorowany nie może uznać, że korzysta z chmury prywatnej. W takim modelu współpracy, tj. w sytuacji, gdy świadczona przez podmiot trzeci usługa wykorzystuje usługi chmury obliczeniowej prywatnej, w ocenie UKNF podmiot nadzorowany korzysta z chmury publicznej i powinien ocenić taką współpracę m.in. z uwzględnieniem VI.2.6 i VI.2.7 Komunikatu.

Stosowanie Komunikatu powinno odbywać się z uwzględnieniem rzeczywistego wykorzystania chmury obliczeniowej publicznej lub hybrydowej, co powinno podlegać każdorazowej analizie przez podmiot nadzorowany.

Zgodnie z Komunikatem chmura obliczeniowa to pula współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy. 

Skalowalności, która może stanowić wyznacznik, czy dana pula zasobów obliczeniowych stanowi chmurę obliczeniową (I.1.3 Komunikatu), nie należy utożsamiać z określaniem przez użytkownika chmury obliczeniowej parametrów wiążących się z korzystaniem z usługi chmury obliczeniowej (I.1.9 Komunikatu). W szczególności określenie przez użytkownika np. pojemności skrzynki pocztowej, mocy obliczeniowej, czy też pamięci RAM nie powoduje, że chmura obliczeniowa nie ma cechy skalowalności. Określenie powyżej wskazanych przykładów parametrów usługi chmury obliczeniowej nie  wpływa na to, czy skalowalność chmury obliczeniowej występuje lub nie. W związku z tym, nie ma wpływu na stosowanie Komunikatu. Przykładowo określenie mocy obliczeniowej lub pojemności dysku wykorzystywanego do usługi analitycznej w chmurze (usługi chmury obliczeniowej) nie wpływa na zakwalifikowanie puli zasobów obliczeniowych jako chmury obliczeniowej, a jedynie może mieć na celu modyfikację wstępnie skonfigurowanej usługi chmury obliczeniowej. Parametry chmury obliczeniowej są elementami brzegowymi (startowymi), po przekroczeniu których mogą być włączone mechanizmy skalowalności. Monitoring tych parametrów, ich szacowanie oraz konieczność ich dostosowania do bieżącego zapotrzebowania jest podstawą do określenia parametrów skalowalności.

O ile hosting jest realizowany w oparciu o infrastrukturę chmurową publiczną lub hybrydową, to Komunikat powinien być stosowany.

Usługi wsparcia IT świadczone poza EOG wymagają uzyskania zezwolenia Komisji Nadzoru Finansowego, o którym mowa w art. 6d ustawy Prawo bankowe w przypadku, gdy podmiot realizujący usługi wsparcia IT może mieć dostęp do informacji objętych tajemnicą bankową.

W szczególności, gdy usługę chmurową świadczy na rzecz banku lub na rzecz przedsiębiorcy, o którym mowa w art. 6a ust. 1 ustawy Prawo bankowe, podmiot z siedzibą lub miejscem stałego zamieszkania w EOG, centrum przetwarzania danych zlokalizowane jest w EOG, a usługi wsparcia (np. rozwiązywanie problemów technicznych użytkowników usługi) świadczone są zdalnie przez:

  • osoby współpracujące z wyżej wymienionym podmiotem, lub

  • zautomatyzowane systemy wsparcia bez udziału człowieka, 

które znajdują się, choćby krótkotrwale (np. współpracownicy na urlopie), poza EOG, to usługi wsparcia IT będą faktycznie świadczone poza EOG. W konsekwencji podmiot nadzorowany powinien uzyskać zezwolenie. 

UKNF zwraca uwagę, że zgodnie z VI.2.5.a (Wytyczne do szacowania ryzyka) szyfrowanie informacji nie zmniejsza ważności informacji, nie zmienia też jej klasyfikacji i oceny, a więc zaszyfrowanie danych podczas świadczenia usług wsparcia IT, np. w ramach helpdesk, nie wpływa na konieczność uzyskania zezwolenia, o którym mowa w przepisie art. 6d ustawy Prawo bankowe.

Komunikat w VI.2.1.d (Wytyczne do szacowania ryzyka) stanowi, że podmiot nadzorowany uwzględnia w procesie szacowania ryzyka, w kontekście wyników przeprowadzonej klasyfikacji i oceny przetwarzanych informacji w chmurze obliczeniowej, co najmniej dostęp do przetwarzanych informacji, gwarantowany przez jurysdykcję kraju, w którym odbywa się fizycznie przetwarzanie (lokalizacja centrum przetwarzania danych), w szczególności odniesienie do katalogu sytuacji (lub podmiotów), w której możliwe jest żądanie informacji lub dostępu do nich bez wyraźnej zgody podmiotu nadzorowanego, zarówno przez organy administracji krajowej jak i międzynarodowej.

Przetwarzanie danych obejmuje przetwarzanie in rest oraz in transit. Zatem fizyczne przetwarzanie danych odbywa się w centrum przetwarzania danych (CPD) oraz w infrastrukturze telekomunikacyjnej służącej do przesyłania danych pomiędzy poszczególnymi CPD wskazanymi w umowie z dostawcą usługi chmury obliczeniowej, oraz pomiędzy CPD, a podmiotem nadzorowanym.

Deklaracja dostawców usługi chmury obliczeniowej o przetwarzaniu danych tylko na terenie EOG bazująca na lokalizacji CPD w EOG nie gwarantuje, że organy administracji państwa trzeciego jak i międzynarodowej nie będą uprawnione do żądania dostępu do danych podmiotu nadzorowanego.

Pomimo korzystania z CPD zlokalizowanych na terenie EOG, przesyłanie danych pomiędzy CPD w EOG może odbywać się z wykorzystaniem infrastruktury światłowodowej należącej do podmiotu z państwa trzeciego (np. w wyniku wystąpienia siły wyższej albo w wyniku standardowego zarządzania CPD przez dostawcę usługi chmury obliczeniowej, w tym: optymalizacji ruchu sieciowego, obciążenia danego CPD, zarządzenia wykorzystaniem energii elektrycznej w CPD). 

Zatem może dojść do sytuacji, w której CPD zlokalizowane jest w UE i należy do spółki zarejestrowanej w UE, natomiast przetwarzanie in transit realizowane jest w infrastrukturze telekomunikacyjnej należącej do przedsiębiorcy telekomunikacyjnego z państwa trzeciego, np. z USA.

Z uwagi na powyższe, administracja państw trzecich (np. USA) może być uprawniona do żądania dostępu do danych podmiotu nadzorowanego bez zapewnienia standardów UE w zakresie ochrony danych osobowych, jak również informacji prawnie chronionych lub objętych outsourcingiem szczególnym w rozumieniu Komunikatu.

UKNF zaleca zatem, aby podmiot nadzorowany – przed nawiązaniem współpracy z dostawcą usługi chmury obliczeniowej – upewnił się, w jakim zakresie przesyłanie danych pomiędzy CPD odbywa się z użyciem infrastruktury światłowodowej należącej do podmiotu podlegającego prawu państwa trzeciego. 

UKNF zaleca, aby szacowanie ryzyka obejmowało także przetwarzanie danych in transit.

Komunikat nie kreuje nowych oczekiwań UKNF, lecz opisuje stan prawny i sposób rozumienia poszczególnych regulacji, a zakres w jakim ma on zastosowanie do oddziałów instytucji kredytowych wynika z odpowiedniego stosowania przez nie przepisów ustawy Prawo bankowe. Sam Komunikat w swojej treści stanowi, że ma on zastosowanie do podmiotów nadzorowanych w rozumieniu ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym. Oddział instytucji kredytowej jest podmiotem nadzorowanym w określonym ustawą Prawo bankowe zakresie, który obejmuje m.in. outsourcing. Do oddziału instytucji kredytowej znajdują odpowiednie zastosowanie przepisy ustawy Prawo bankowe dotyczące outsourcingu (art. 6a-6d w zw. z art. 48k ust. 2 ustawy Prawo bankowe), a w konsekwencji także Komunikat. W przypadku przetwarzania przez podmiot nadzorowany informacji w chmurze obliczeniowej publicznej lub hybrydowej w rozumieniu Komunikatu, oddział instytucji kredytowej ma obowiązek:

  • stosowania przepisów powszechnie obwiązujących, 
  • stosowania Komunikatu oraz, 
  • poinformowania UKNF o zamiarze przetwarzania informacji w chmurze obliczeniowej zgodnie z VIII.1 Komunikatu  przy wykorzystaniu formularza stanowiącego Załącznik nr 1 do Komunikatu.  

Oddział zakładu ubezpieczeń lub zakładu reasekuracji z UE ma obowiązek:

  • stosowania przepisów powszechnie obwiązujących,
  • stosowania Komunikatu,  oraz
  • poinformowania UKNF o zamiarze przetwarzania informacji w chmurze obliczeniowej zgodnie z Załącznikiem nr 1 do Komunikatu. 
Zgodnie z art. 3 ust. 1 pkt 22 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (UDUR) oddział oznacza każdą formę stałej obecności na terytorium Rzeczypospolitej Polskiej zakładu ubezpieczeń mającego siedzibę w państwie członkowskim Unii Europejskiej lub zakładu reasekuracji mającego siedzibę w państwie członkowskim Unii Europejskiej, w tym oddział, w rozumieniu ustawy z dnia 6 marca 2018 r. o zasadach uczestnictwa przedsiębiorców zagranicznych i innych osób zagranicznych w obrocie gospodarczym na terytorium Rzeczypospolitej Polskiej.
Komunikat jest skierowany do towarzystw działających jako krajowe zakłady ubezpieczeń i krajowe zakłady reasekuracji w rozumieniu UDUR. Komunikat stosuje się również odpowiednio do  oddziałów zagranicznych zakładów ubezpieczeń i zakładów reasekuracji w rozumieniu UDUR.

Zakład ubezpieczeń stosuje Komunikat w relacjach z multiagentami oraz agentami wyłącznymi w zakresie w jakim podmioty te wykonują na rzecz zakładu ubezpieczeń proces, usługę lub działanie, które w innym przypadku zostałyby wykonane przez zakład ubezpieczeń oraz: 

  1. przetwarzanie informacji w chmurze obliczeniowej publicznej lub hybrydowej ma charakter outsourcingu szczególnego, lub
  2. przetwarzanie w chmurze obliczeniowej publicznej lub hybrydowej dotyczy informacji prawnie chronionych (outsourcing chmury obliczeniowej inny niż szczególny).
Podmioty te, jako podmioty nadzorowane, stosują Komunikat, gdy korzystają z chmury obliczeniowej publicznej lub hybrydowej, a przetwarzanie informacji, w ramach tych chmur obliczeniowych, ma charakter outsourcingu szczególnego lub dotyczy informacji prawnie chronionych.
Zakład ubezpieczeń nie stosuje Komunikatu w relacjach z zakładami reasekuracji i brokerami ubezpieczeniowymi, ponieważ wskazane podmioty samodzielnie realizują czynności w ramach prowadzonej przez siebie działalności gospodarczej. Podmioty te, jako podmioty nadzorowane, stosują Komunikat, gdy korzystają z chmury obliczeniowej publicznej lub hybrydowej, a przetwarzanie informacji, w ramach tych chmur obliczeniowych, ma charakter outsourcingu szczególnego lub dotyczy informacji prawnie chronionych.

UKNF wyjaśnia, że notyfikacja zgodnie z Załącznikiem Nr 1 do Komunikatu dotyczy zamiaru przetwarzania danych w chmurze obliczeniowej publicznej lub hybrydowej zgodnie z VIII. Komunikatu. 

Zatem to planowane przetwarzanie danych w chmurze decyduje o obowiązku notyfikowania, a nie okoliczność podpisania umowy przez podmiot nadzorowany. Podpisanie umowy w ramach chmury społecznościowej publicznej, np. przez podmiot zrzeszający lub w ramach grupy kapitałowej przez podmiot dominujący, nie zwalnia poszczególnych podmiotów nadzorowanych uczestniczących w zrzeszeniu lub grupie kapitałowej z obowiązku notyfikowania przetwarzania w chmurze zgodnie z Załącznikiem Nr 1 do Komunikatu.

W przypadku współpracy podmiotu nadzorowanego z innym podmiotem nadzorowanym, podmiot ten nie ma obowiązku dokonywania oddzielnych notyfikacji uwzględniających korzystanie z chmury  przez podmiot nadzorowany, któremu powierzono przetwarzanie, jeżeli korzystanie z chmury jest jego autonomiczną decyzją. Przykładowo w relacji zakład ubezpieczeń – agent ubezpieczeniowy, jeżeli ten drugi autonomicznie korzysta z usług chmurowych (niedostarczonych przez zakład ubezpieczeń), to zakład ubezpieczeń nie ma obowiązku notyfikowania korzystania z chmury i tylko agent ubezpieczeniowy notyfikuje UKNF korzystanie z chmury. 

Jeżeli natomiast, podmiot nadzorowany korzysta z usługi chmurowej dostarczonej przez inny podmiot nadzorowany i wykorzystuje ją do wykonywania czynności na rzecz tego podmiotu, to obydwa podmioty dokonują oddzielnych notyfikacji. Przykładowo w relacji zakład ubezpieczeń – agent ubezpieczeniowy, jeżeli ten drugi korzysta z usługi chmurowej dostarczanej przez zakład ubezpieczeń, to zarówno zakład (niezależnie od tego, z iloma agentami współpracuje), jak i agent dokonują oddzielnych notyfikacji we własnym zakresie wykorzystywania chmury. 

Każdy podmiot nadzorowany prowadzi ewidencję umów outsourcingu, której obowiązek prowadzenia dotyczy również umów z dostawcą usługi chmury obliczeniowej. Ewidencja ta jest prowadzona zgodnie z obowiązującymi dany podmiot przepisami. UKNF zaleca aby ewidencja, w zakresie usług chmury obliczeniowej, uwzględniała również informacje wymienione w Załączniku Nr 1 do Komunikatu.

UKNF wyjaśnia, że zgodnie z VIII. Komunikatu podmiot nadzorowany realizujący zadania na rzecz innego podmiotu nadzorowanego, nie ma obowiązku informowania UKNF zgodnie z Załącznikiem Nr 1 do Komunikatu (ten obowiązek wykonał podmiot nadzorowany powierzający zadanie). Jednak podmiot nadzorowany realizujący zadania na rzecz innego podmiotu nadzorowanego powinien samodzielnie notyfikować korzystanie z chmury zgodnie z Załącznikiem Nr 1, w przypadku gdy z własnej inicjatywy wykorzystuje usługę chmurową niedostarczoną przez podmiot nadzorowany powierzający. UKNF zaleca aby w pojedynczej  notyfikacji uwzględniać informacje opisane  w VIII.1.1 Komunikatu niezależnie od celu ich przetwarzania.

Aktualizacja stosu technologicznego chmury obliczeniowej (zarówno w zakresie infrastruktury jak i oprogramowania, niezależnie od przyjętego modelu świadczenia usług) nie powinna odbywać się z wykorzystaniem kont administracyjnych maszyn wirtualnych, które w tym konkretnym przypadku tworzone byłyby w modelu IaaS. Taka sytuacja byłaby wprost niezgodna z wymaganiami Komunikatu opisanymi w VII.6.4.b.

UKNF podkreśla, że dostawcy usług chmury obliczeniowej posiadają lub powinni posiadać mechanizmy aktualizacji stosu technologicznego, które nie zakładają konieczności posiadania kont administracyjnych w instancjach usług wykorzystywanych przez podmioty nadzorowane. Opisywana sytuacja może mieć odniesienie do działań dostawców, którzy nie są dostawcami usług chmury obliczeniowej, ale świadczą usługi wsparcia IT dla podmiotu nadzorowanego, również w środowisku chmury obliczeniowej. W tym przypadku zastosowanie mają wymagania zdefiniowane w VII.8.4 Komunikatu wraz przypisem nr 11.

Podmiot nadzorowany powinien zidentyfikować, z jakich procesów i aplikacji korzysta. Następnie podmiot nadzorowany powinien zbadać, w szczególności z uwzględnieniem VI.2.1.e i h Komunikatu, które z tych procesów i aplikacji mają istotny wpływ na działalność podmiotu nadzorowanego (tzn. ich brak działania lub działanie nieprawidłowe istotnie wpłynie na funkcjonowanie podmiotu nadzorowanego z perspektywy skutków ekonomicznych, skutków dla reputacji podmiotu nadzorowanego, skutków dla klientów podmiotu nadzorowanego oraz wymogów nadzorczych związanych z prowadzoną przez niego działalnością), oraz które procesy i aplikacje mogą zostać przeniesione do innych dostawców usługi chmury obliczeniowej lub do infrastruktury on premise.

Kwalifikacja, czy dany proces i aplikacja ma istotne znaczenie odbywa się w oparciu o szacowanie ryzyka. Szacowanie ryzyka jest przeprowadzane samodzielnie przez podmiot nadzorowany. UKNF dopuszcza wykorzystanie do szacowania ryzyka standardów opracowanych w ramach zrzeszeń branżowych lub innych powszechnie przyjętych.

Testowanie planu wycofania dotyczy procesów i aplikacji, a nie dostawcy usługi chmury obliczeniowej. Testowanie nie może ograniczać się jedynie do teoretycznych ćwiczeń symulujących podjęcie adekwatnych kroków w przypadku wystąpienia określonych zdarzeń (przeprowadzenie gry sztabowej). Testowanie powinno odbywać się przynajmniej raz w roku poprzez rzeczywiste wykonanie działań awaryjnych w stosunku do procesów i aplikacji, które mają istotny wpływ na działalność podmiotu nadzorowanego. 

Podmiot nadzorowany może przeprowadzać testy w oparciu o listę istotnych procesów i aplikacji (Zestawienie). Zestawienie powinno być aktualizowane co najmniej raz w roku, natomiast monitorowanie wykorzystywanych procesów i aplikacji powinna odbywać się w sposób ciągły. Podmiot nadzorowany opracowuje i utrzymuje Zestawienie. Zestawienie może stanowić podstawę do wyboru testowanego procesu. Jednocześnie, w uzasadnionych przypadkach, UKNF może wskazać na konieczność przeprowadzenia testu danej usługi, w szczególności w przypadku zwiększenia skali wykorzystania procesu i aplikacji.

Testowanie powinno odbywać się rotacyjnie w oparciu o różne procesy i aplikacje. Rotacyjne testowanie powinno dotyczyć procesów i aplikacji, które mają istotny wpływ na działalność podmiotu nadzorowanego.

Umowa z dostawcą usług chmury obliczeniowej powinna określać zasady rozwiązywania umowy, w tym zasady i terminy zwrotu lub usunięcia przetwarzanych informacji (VII.4.1.q Komunikatu). 

 W umowie z dostawcą usługi chmury obliczeniowej podmiot nadzorowany powinien zatem ustalić, w jaki sposób dane podmiotu nadzorowanego zostaną zwrócone podmiotowi w przypadku wycofania się podmiotu z chmury obliczeniowej lub migracji do innej chmury obliczeniowej. UKNF zaleca, aby w umowie z dostawcą usługi chmury obliczeniowej podmiot nadzorowany ustalił bezpieczny sposób usunięcia danych w infrastrukturze dostawcy chmurowego. W ocenie UKNF szyfrowanie nie może zostać uznane za skasowanie danych podmiotu nadzorowanego w infrastrukturze dostawcy usługi chmury obliczeniowej.

 UKNF zaleca, aby podmiot nadzorowany zapewnił sobie, w trakcie trwania umowy i po zakończeniu współpracy z dostawcą usługi chmury obliczeniowej, pełną i wyłączną kontrolę nad danymi i informacjami uzyskanymi w wyniku przetwarzania danych dostarczonych przez podmiot nadzorowany np. profilami behawioralnymi (informacje). UKNF zaleca, aby podmiot nadzorowany zapewnił sobie, trwałe i bezpieczne usunięcie informacji przez dostawcę usługi chmury obliczeniowej z infrastruktury swojej i podmiotów z nim współpracujących. W ocenie UKNF podmiot nadzorowany powinien również zapewnić sobie możliwość wykorzystania informacji niezależnie od dalszej współpracy z dostawcą usługi chmury obliczeniowej.

Każdy z banków powinien szacować ryzyko samodzielnie, może w tym procesie wykorzystywać modele przygotowane w ramach zrzeszenia lub grupy kapitałowej, jednak UKNF wymaga aby każdy z banków samodzielnie szacował ryzyko z uwzględnieniem specyfiki prowadzonej działalności zgodnie z Wytycznymi do szacowania ryzyka opisanymi w VI. Komunikatu.

Nie jest to możliwe, każdy z banków dokonuje samodzielnie notyfikacji zgodnie z Załącznikiem Nr 1 i brzmieniem VIII.1 i 2. Komunikatu.

Nie jest to możliwie. Zgodnie z VII.4.1.n Komunikatu  organ nadzoru musi mieć zagwarantowane prawo do wykonywania obowiązków kontrolnych, w tym kontroli pomieszczeń i dokumentacji związanej z przetwarzaniem informacji podmiotu nadzorowanego, procesów i procedur, organizacji i zarządzania oraz potwierdzeń zgodności.

Opieranie się wyłącznie na raportach i certyfikatach w zakresie spełnienia wymogów określonych w VII.4.1.m Komunikatu nie jest możliwe. UKNF dopuszcza, z uwzględnieniem zastrzeżeń wskazanych w Komunikacie, możliwość wykorzystania przez podmiot nadzorowany (a także przez dostawcę innego niż dostawca usługi chmury obliczeniowej) audytu drugiej lub trzeciej strony, tylko i wyłącznie pod warunkiem, że druga lub trzecia strona zagwarantuje w umowie, że audyt zostanie przeprowadzony na podstawie fizycznych inspekcji w lokalizacjach przetwarzania informacji, a także gdy dostawca usługi chmury obliczeniowej zapewni w umowie pełną współpracę przy wykonaniu audytu. UKNF rekomenduje, aby w przypadku korzystania z audytu drugiej lub trzeciej strony podmiot nadzorowany zagwarantował sobie prawo do audytu realizowanego wyłącznie na jego rzecz, a nie wyłącznie w ramach audytu połączonego.

Czy znalazłeś potrzebną informację?

Czy znalazłeś potrzebną informację?

Czy znalazłeś potrzebną informację?

Uzupełnij pole