Chmura obliczeniowa - Nowy komunikat KNF

24 stycznia 2020 r. KNF opublikowa艂 nowy komunikat dotycz膮cy przetwarzania informacji w chmurze obliczeniowej przez podmioty nadzorowane.

Zapraszamy do wys艂uchania podcastu, w kt贸rym nasi eksperci odpowiedz膮 na najwa偶niejsze pytania zwi膮zane z najnowszym komunikatem KNF.

  • O czym m贸wi nowy komunikat, kt贸rych podmiot贸w on dotyczy i od kiedy obowi膮zuje?
  • Jak nowy komunikat ma si臋 do obowi膮zuj膮cych przepis贸w prawa?
  • Jakie zmiany wprowadzi艂 ostatnio zaprezentowany dokument w por贸wnaniu z komunikatem z 2017 roku?

 


Zapraszamy do wys艂uchania podcastu

Dzie艅 dobry nazywam si臋 Jakub Go艂臋biowski (JG) i witam was na falach podcast贸w PwC.

Dzisiaj w odcinku zajmiemy si臋 komunikatem, jaki wyda艂 Urz膮d Komisji Nadzoru Finansowego 24.01.2020 roku, dotyczy on przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej.
Tak偶e b臋dzie dzisiaj troch臋 technologicznie, ale przede wszystkim prawnie, bo moimi go艣膰mi s膮 dzisiaj Aleksandra Ba艅kowska, adwokat i partner w Kancelarii PwC Legal, dzie艅 dobry. 

Aleksandra Ba艅kowska (AB): Dzie艅 dobry. 

J.G.: Oraz 艁ukasz 艁yczko, radca prawny i manager w tej samej kancelarii, witam serdecznie. 

艁ukasz 艁yczko (艁艁): Dzie艅 dobry. 

J.G.: To mo偶e zacznijmy od tego, o co chodzi z tym nowym komunikatem, kt贸rych podmiot贸w on dotyczy i od kiedy obowi膮zuje? Czy mo偶emy tutaj ju偶 zaalarmowa膰, 偶e kt贸re艣 podmioty powinny si臋 specjalnie spieszy膰? 

A.B.: Jak ju偶 wspomnia艂e艣 w pi膮tek 24.01 KNF opublikowa艂 ostateczn膮 wersj臋 komunikatu dotycz膮cego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej, chodzi o chmur臋 publiczn膮 i hybrydow膮. Projekt komunikatu zosta艂 udost臋pniony przez KNF w listopadzie zesz艂ego roku.

By艂 jaki艣 kr贸tki czas na zg艂aszanie komentarzy przez rynek w艂a艣nie w zakresie tego komunikatu. Podmioty nadzorowane z niecierpliwo艣ci膮 czeka艂y jaka b臋dzie jego ostateczna wersja, instytucje finansowe w Polsce od d艂u偶szego czasu chcia艂y otrzyma膰 od KNFu przejrzyste zasady wykorzystywania technologii chmury obliczeniowej. W艂a艣nie komunikat definiuje te zasady, zast臋puje komunikat z 2017 roku, kt贸ry budzi艂 wiele w膮tpliwo艣ci interpretacyjnych.

Pytasz o grono podmiot贸w, do kt贸rego ten komunikat ma mie膰 zastosowanie. Jest tam u偶yta definicja podmiot贸w nadzorowanych i s膮 to banki, zak艂ady ubezpiecze艅, firmy inwestycyjne, ale tak偶e KIPy, czyli Krajowe Instytucje P艂atnicze. KNF przewidzia艂 okres przej艣ciowy do dostosowania dzia艂alno艣ci przez podmioty nadzorowane, kt贸re ju偶 stosuj膮 technologie chmurow膮 i te podmioty maj膮 czas do 1 sierpnia 2020 roku, natomiast do wszystkich pozosta艂ych komunikat stosuje si臋 od dnia jego wej艣cia w 偶ycie, czyli od 24 stycznia.

Dodatkowo KNF zapowiada warsztaty dla podmiot贸w nadzorowanych dotycz膮ce chmury w lutym i w czerwcu, gdzie pewnie wiele rzeczy i wiele w膮tpliwo艣ci, kt贸re mamy dzisiaj ulegn膮 wyja艣nieniu i dalszym komentarzom ze strony urz臋du. 

J.G.: OK, to s膮 cenne informacje na pocz膮tek. Du偶o tutaj wspominamy o chmurze, czy o technologii chmury obliczeniowej, ale czy mo偶emy wskaza膰 jakie艣 konkretne projekty czy KNF mo偶e wskaza艂, zdefiniowa艂 o jakich konkretnych projektach w przypadku tego komunikatu m贸wimy? 

艁.艁.: Technologia chmury obliczeniowej ma bardzo szerokie zastosowanie i pewnie nie jeste艣my w stanie wymieni膰 wszystkich przypadk贸w. KNF w komunikacie zdefiniowa艂 r贸偶ne rodzaje chmury, m贸wimy o chmurze publicznej, prywatnej, hybrydowej, spo艂eczno艣ciowej, te definicje znalaz艂y si臋 w komunikacie.

Wa偶ne jest, 偶eby wspomnie膰 o tym, 偶e komunikat nie znajduje zastosowania do chmury prywatnej. Co ciekawe KNF zdefiniowa艂 np. dostawc臋 chmury i tak偶e sam膮 us艂ug臋 chmury obliczeniowej.

No i tak wed艂ug komunikatu dostawc膮 chmury jest zar贸wno podmiot dostarczaj膮cy wystandaryzowane zasoby chmury, jak i dostawca w przypadku, kt贸rego us艂uga chmury obliczeniowej stanowi tylko element us艂ug innego dostawcy, czyli nie m贸wimy tylko o bezpo艣redniej wsp贸艂pracy instytucji finansowej z tak zwanymi g艂贸wnymi dostawcami chmury obliczeniowej, ale te偶 o innych projektach natury outsourcingowej, kt贸re mog膮 element chmurowy zawiera膰. 

J.G.: A powiedzcie mi prosz臋 jak ten nowy komunikat, ten z 24.01 ma si臋 do obowi膮zuj膮cych przepis贸w prawa? Czy mo偶na powiedzie膰, 偶e pewne problemy prawne bank贸w i dostawc贸w technologicznych zosta艂y rozwi膮zane, bo z tego co pami臋tam wcze艣niej ju偶 jakie艣 wytyczne obowi膮zywa艂y. 

A.B.: Oczywi艣cie, obowi膮zywa艂y przede wszystkim przepisy powszechnie obowi膮zuj膮ce, czyli prawo bankowe w zakresie outsourcingu mi臋dzy innymi maj膮ce zastosowanie do w艂a艣nie projekt贸w dotycz膮cych chmury, ale tak偶e komunikat z 2017 roku dotycz膮cy chmury i szereg rekomendacji KNFu, kt贸re dotyka艂y tej tematyki.

Komunikat KNF nie stanowi zmiany przepis贸w prawa i o tym musimy pami臋ta膰, bo by艂a cz臋艣膰 os贸b, kt贸ra oczekiwa艂a, 偶e on rozwi膮偶e wszystkie problemy, dotycz膮ce wdra偶ania chmury w bankach, czy innych podmiotach nadzorowanych. No tak si臋 nie mo偶e sta膰, dlatego, 偶e forma komunikatu nie mo偶e zmienia膰 przepis贸w powszechnie obowi膮zuj膮cych.

KNF wprost wskazuje, 偶e komunikat stanowi interpretacj臋 urz臋du dotycz膮c膮 istniej膮cych przepis贸w. Trzeba te偶 pami臋ta膰, 偶e komunikat trzeba czyta膰 w relacji do innych dzia艂a艅 nadzorczych KNFu, w tym do obowi膮zuj膮cych obecnie rekomendacji.

Kwestie np. wynikaj膮ce z prawa bankowego, takie jak zakaz ograniczenia odpowiedzialno艣ci insourcera czy ograniczenie podoutsourcingu pozostaj膮 aktualne i te problemy nie mog艂y by膰 rozwi膮zane przy pomocy komunikatu.

Niemniej jednak KNF daje w komunikacie pewne wytyczne i pewne wskaz贸wki interpretacyjne, kt贸re mo偶na czyta膰 z korzy艣ci膮 dla bank贸w r贸wnie偶 w zakresie tych problematycznych przepis贸w. Takim przyk艂adem s膮 definicje ujawnienia informacji, wyja艣nienia dotycz膮ce kwestii szyfrowania

J.G.: Wspomnia艂a艣, 偶e nowy komunikat w jaki艣 spos贸b niejako zast臋puje poprzedni z 2017 roku, to czy pokusiliby艣cie si臋 o to, 偶eby przybli偶y膰 jakie zmiany w por贸wnaniu do tego 2017 roku wprowadzi艂 ostatnio zaprezentowany dokument. 

艁.艁.: Nowy komunikat zast臋puje, tak jak wspomnia艂a Ola poprzedni wydany przez KNF komunikat z 2017 roku, co oznacza, 偶e podmioty nadzorowane, te zdefiniowane  jako nadzorowane w komunikacie musz膮 obecnie stosowa膰 zasady wynikaj膮ce no w艂a艣nie z tego nowego komunikatu, czyli przede wszystkim wszystkie chmurowe wdro偶enia powinny bra膰 pod uwag臋 proponowany przez KNF tak zwany model referencyjny.

Nowo艣ci膮, o kt贸rej te偶 trzeba wspomnie膰 jest sprecyzowanie przez KNF wymaga艅 dotycz膮cych np. szyfrowania danych w chmurze i konsekwencji takich dzia艂a艅, ale tak偶e zestawu wymog贸w jakie powinien spe艂nia膰 dostawca chmury obliczeniowej, 偶eby m贸c wsp贸艂pracowa膰 z podmiotem nadzorowanym. 

J.G.: To mo偶e jeszcze mogliby艣my porozmawia膰 o modelu referencyjnym KNF, co to w zasadzie jest? Czy jak podmiot b臋dzie korzysta艂 z chmury w spos贸b niezgodny z komunikatem to nara偶a si臋 na jakie艣 konsekwencje? 

艁.艁.: KNF wskazuje, 偶e model referencyjny przedstawia podej艣cie wymagane przez KNF, dotycz膮ce projektu obejmuj膮cego outsourcing chmurowy. KNF oczekuje, 偶e podmioty nadzorowane b臋d膮 stosowa膰 model referencyjny w przypadku dzia艂a艅 zwi膮zanych zar贸wno z przygotowaniem, realizacj膮 i zako艅czeniem przetwarzania informacji w chmurze obliczeniowej.

Je偶eli chodzi o konsekwencje zwi膮zane z nieprawid艂owym stosowaniem zasad wskazanych przez KNF, to trzeba mie膰 na uwadze mo偶liwo艣膰 podj臋cia standardowych 艣rodk贸w nadzorczych przewidzianych dla KNFu. Chyba tak膮 jedn膮 z najbardziej dotkliwych konsekwencji, kt贸ra mo偶e tego rodzaju projektu dotkn膮膰 to jest konieczno艣膰 zmian technologicznych i biznesowych w przypadku zakwestionowania modelu banku. Wydaje si臋, 偶e dlatego takie wdro偶enie warto zaplanowa膰 zar贸wno od strony prawnej, technologicznej, operacyjnej i biznesowej.

J.G.: Bardzo wam dzi臋kuj臋, bardzo to w taki sprawny spos贸b uda艂o si臋 zwi臋藕le om贸wi膰 te najwa偶niejsze elementy zwi膮zane z komunikatem KNF, przypomn臋 to jest dokument z 24 stycznia 2020 roku. A ja jeszcze raz na koniec chcia艂bym ponowi膰 zaproszenie na 艣niadanie, zach臋camy do rejestracji przez stron臋 PwC, tam wszystkie szczeg贸艂y na temat tego wydarzenia si臋 znajd膮. A tymczasem bardzo dzi臋kuj臋 za wys艂uchanie tego odcinka, a Oli i 艁ukaszowi za bardzo sprawne om贸wienie tematu. Dzi臋kuj臋 wam bardzo. 

A.B., 艁.艁.: Dzi臋kujemy bardzo. 

Podoba艂 ci si臋 odcinek, podziel si臋 z innymi oraz 艣led藕 nasze kana艂y. Wi臋cej podcast贸w PwC znajdziesz na stronie pwc.pl/podcasty oraz w aplikacjach SpotifyiTunes i Google Music.

 

Nasi eksperci:

Aleksandra Ba艅kowska Partner, adwokat, PwC Legal Polska
Aleksandra Ba艅kowska

Partner, adwokat, PwC Legal Polska

艁ukasz 艁yczko Counsel, radca prawny, PwC Legal Polska
艁ukasz 艁yczko

Counsel, radca prawny, PwC Legal Polska

Skontaktuj si臋 z nami

Aleksandra Ba艅kowska

Aleksandra Ba艅kowska

Partner, Adwokat, PwC Polska

艁ukasz 艁yczko

艁ukasz 艁yczko

Counsel, Radca Prawny, PwC Polska

Tel.: +48 519 507 952

Obserwuj nas