Chmura obliczeniowa - Nowy komunikat KNF

24 stycznia 2020 r. KNF opublikował nowy komunikat dotyczący przetwarzania informacji w chmurze obliczeniowej przez podmioty nadzorowane.

Zapraszamy do wysłuchania podcastu, w którym nasi eksperci odpowiedzą na najważniejsze pytania związane z najnowszym komunikatem KNF.

  • O czym mówi nowy komunikat, których podmiotów on dotyczy i od kiedy obowiązuje?
  • Jak nowy komunikat ma się do obowiązujących przepisów prawa?
  • Jakie zmiany wprowadził ostatnio zaprezentowany dokument w porównaniu z komunikatem z 2017 roku?

 


Zapraszamy do wysłuchania podcastu

Dzień dobry nazywam się Jakub Gołębiowski (JG) i witam was na falach podcastów PwC.

Dzisiaj w odcinku zajmiemy się komunikatem, jaki wydał Urząd Komisji Nadzoru Finansowego 24.01.2020 roku, dotyczy on przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej.
Także będzie dzisiaj trochę technologicznie, ale przede wszystkim prawnie, bo moimi gośćmi są dzisiaj Aleksandra Bańkowska, adwokat i partner w Kancelarii PwC Legal, dzień dobry. 

Aleksandra Bańkowska (AB): Dzień dobry. 

J.G.: Oraz Łukasz Łyczko, radca prawny i manager w tej samej kancelarii, witam serdecznie. 

Łukasz Łyczko (ŁŁ): Dzień dobry. 

J.G.: To może zacznijmy od tego, o co chodzi z tym nowym komunikatem, których podmiotów on dotyczy i od kiedy obowiązuje? Czy możemy tutaj już zaalarmować, że któreś podmioty powinny się specjalnie spieszyć? 

A.B.: Jak już wspomniałeś w piątek 24.01 KNF opublikował ostateczną wersję komunikatu dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej, chodzi o chmurę publiczną i hybrydową. Projekt komunikatu został udostępniony przez KNF w listopadzie zeszłego roku.

Był jakiś krótki czas na zgłaszanie komentarzy przez rynek właśnie w zakresie tego komunikatu. Podmioty nadzorowane z niecierpliwością czekały jaka będzie jego ostateczna wersja, instytucje finansowe w Polsce od dłuższego czasu chciały otrzymać od KNFu przejrzyste zasady wykorzystywania technologii chmury obliczeniowej. Właśnie komunikat definiuje te zasady, zastępuje komunikat z 2017 roku, który budził wiele wątpliwości interpretacyjnych.

Pytasz o grono podmiotów, do którego ten komunikat ma mieć zastosowanie. Jest tam użyta definicja podmiotów nadzorowanych i są to banki, zakłady ubezpieczeń, firmy inwestycyjne, ale także KIPy, czyli Krajowe Instytucje Płatnicze. KNF przewidział okres przejściowy do dostosowania działalności przez podmioty nadzorowane, które już stosują technologie chmurową i te podmioty mają czas do 1 sierpnia 2020 roku, natomiast do wszystkich pozostałych komunikat stosuje się od dnia jego wejścia w życie, czyli od 24 stycznia.

Dodatkowo KNF zapowiada warsztaty dla podmiotów nadzorowanych dotyczące chmury w lutym i w czerwcu, gdzie pewnie wiele rzeczy i wiele wątpliwości, które mamy dzisiaj ulegną wyjaśnieniu i dalszym komentarzom ze strony urzędu. 

J.G.: OK, to są cenne informacje na początek. Dużo tutaj wspominamy o chmurze, czy o technologii chmury obliczeniowej, ale czy możemy wskazać jakieś konkretne projekty czy KNF może wskazał, zdefiniował o jakich konkretnych projektach w przypadku tego komunikatu mówimy? 

Ł.Ł.: Technologia chmury obliczeniowej ma bardzo szerokie zastosowanie i pewnie nie jesteśmy w stanie wymienić wszystkich przypadków. KNF w komunikacie zdefiniował różne rodzaje chmury, mówimy o chmurze publicznej, prywatnej, hybrydowej, społecznościowej, te definicje znalazły się w komunikacie.

Ważne jest, żeby wspomnieć o tym, że komunikat nie znajduje zastosowania do chmury prywatnej. Co ciekawe KNF zdefiniował np. dostawcę chmury i także samą usługę chmury obliczeniowej.

No i tak według komunikatu dostawcą chmury jest zarówno podmiot dostarczający wystandaryzowane zasoby chmury, jak i dostawca w przypadku, którego usługa chmury obliczeniowej stanowi tylko element usług innego dostawcy, czyli nie mówimy tylko o bezpośredniej współpracy instytucji finansowej z tak zwanymi głównymi dostawcami chmury obliczeniowej, ale też o innych projektach natury outsourcingowej, które mogą element chmurowy zawierać. 

J.G.: A powiedzcie mi proszę jak ten nowy komunikat, ten z 24.01 ma się do obowiązujących przepisów prawa? Czy można powiedzieć, że pewne problemy prawne banków i dostawców technologicznych zostały rozwiązane, bo z tego co pamiętam wcześniej już jakieś wytyczne obowiązywały. 

A.B.: Oczywiście, obowiązywały przede wszystkim przepisy powszechnie obowiązujące, czyli prawo bankowe w zakresie outsourcingu między innymi mające zastosowanie do właśnie projektów dotyczących chmury, ale także komunikat z 2017 roku dotyczący chmury i szereg rekomendacji KNFu, które dotykały tej tematyki.

Komunikat KNF nie stanowi zmiany przepisów prawa i o tym musimy pamiętać, bo była część osób, która oczekiwała, że on rozwiąże wszystkie problemy, dotyczące wdrażania chmury w bankach, czy innych podmiotach nadzorowanych. No tak się nie może stać, dlatego, że forma komunikatu nie może zmieniać przepisów powszechnie obowiązujących.

KNF wprost wskazuje, że komunikat stanowi interpretację urzędu dotyczącą istniejących przepisów. Trzeba też pamiętać, że komunikat trzeba czytać w relacji do innych działań nadzorczych KNFu, w tym do obowiązujących obecnie rekomendacji.

Kwestie np. wynikające z prawa bankowego, takie jak zakaz ograniczenia odpowiedzialności insourcera czy ograniczenie podoutsourcingu pozostają aktualne i te problemy nie mogły być rozwiązane przy pomocy komunikatu.

Niemniej jednak KNF daje w komunikacie pewne wytyczne i pewne wskazówki interpretacyjne, które można czytać z korzyścią dla banków również w zakresie tych problematycznych przepisów. Takim przykładem są definicje ujawnienia informacji, wyjaśnienia dotyczące kwestii szyfrowania

J.G.: Wspomniałaś, że nowy komunikat w jakiś sposób niejako zastępuje poprzedni z 2017 roku, to czy pokusilibyście się o to, żeby przybliżyć jakie zmiany w porównaniu do tego 2017 roku wprowadził ostatnio zaprezentowany dokument. 

Ł.Ł.: Nowy komunikat zastępuje, tak jak wspomniała Ola poprzedni wydany przez KNF komunikat z 2017 roku, co oznacza, że podmioty nadzorowane, te zdefiniowane  jako nadzorowane w komunikacie muszą obecnie stosować zasady wynikające no właśnie z tego nowego komunikatu, czyli przede wszystkim wszystkie chmurowe wdrożenia powinny brać pod uwagę proponowany przez KNF tak zwany model referencyjny.

Nowością, o której też trzeba wspomnieć jest sprecyzowanie przez KNF wymagań dotyczących np. szyfrowania danych w chmurze i konsekwencji takich działań, ale także zestawu wymogów jakie powinien spełniać dostawca chmury obliczeniowej, żeby móc współpracować z podmiotem nadzorowanym. 

J.G.: To może jeszcze moglibyśmy porozmawiać o modelu referencyjnym KNF, co to w zasadzie jest? Czy jak podmiot będzie korzystał z chmury w sposób niezgodny z komunikatem to naraża się na jakieś konsekwencje? 

Ł.Ł.: KNF wskazuje, że model referencyjny przedstawia podejście wymagane przez KNF, dotyczące projektu obejmującego outsourcing chmurowy. KNF oczekuje, że podmioty nadzorowane będą stosować model referencyjny w przypadku działań związanych zarówno z przygotowaniem, realizacją i zakończeniem przetwarzania informacji w chmurze obliczeniowej.

Jeżeli chodzi o konsekwencje związane z nieprawidłowym stosowaniem zasad wskazanych przez KNF, to trzeba mieć na uwadze możliwość podjęcia standardowych środków nadzorczych przewidzianych dla KNFu. Chyba taką jedną z najbardziej dotkliwych konsekwencji, która może tego rodzaju projektu dotknąć to jest konieczność zmian technologicznych i biznesowych w przypadku zakwestionowania modelu banku. Wydaje się, że dlatego takie wdrożenie warto zaplanować zarówno od strony prawnej, technologicznej, operacyjnej i biznesowej.

J.G.: Bardzo wam dziękuję, bardzo to w taki sprawny sposób udało się zwięźle omówić te najważniejsze elementy związane z komunikatem KNF, przypomnę to jest dokument z 24 stycznia 2020 roku. A ja jeszcze raz na koniec chciałbym ponowić zaproszenie na śniadanie, zachęcamy do rejestracji przez stronę PwC, tam wszystkie szczegóły na temat tego wydarzenia się znajdą. A tymczasem bardzo dziękuję za wysłuchanie tego odcinka, a Oli i Łukaszowi za bardzo sprawne omówienie tematu. Dziękuję wam bardzo. 

A.B., Ł.Ł.: Dziękujemy bardzo. 

Podobał ci się odcinek, podziel się z innymi oraz śledź nasze kanały. Więcej podcastów PwC znajdziesz na stronie pwc.pl/podcasty oraz w aplikacjach SpotifyiTunes i Google Music.

 

Nasi eksperci:

Aleksandra Bańkowska Partner, adwokat, PwC Legal Polska
Aleksandra Bańkowska

Partner, adwokat, PwC Legal Polska

Łukasz Łyczko Counsel, radca prawny, PwC Legal Polska
Łukasz Łyczko

Counsel, radca prawny, PwC Legal Polska

Skontaktuj się z nami

Aleksandra Bańkowska

Aleksandra Bańkowska

Partner, Adwokat, PwC Polska

Łukasz Łyczko

Łukasz Łyczko

Legal Counsel, PwC Polska

Tel.: +48 519 507 952

Obserwuj nas