Zapraszamy do wysłuchania podcastu, w którym nasi eksperci odpowiedzą na najważniejsze pytania związane z najnowszym komunikatem KNF.
Dzień dobry nazywam się Jakub Gołębiowski (JG) i witam was na falach podcastów PwC.
Aleksandra Bańkowska (AB): Dzień dobry.
Łukasz Łyczko (ŁŁ): Dzień dobry.
A.B.: Jak już wspomniałeś w piątek 24.01 KNF opublikował ostateczną wersję komunikatu dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej, chodzi o chmurę publiczną i hybrydową. Projekt komunikatu został udostępniony przez KNF w listopadzie zeszłego roku.
Był jakiś krótki czas na zgłaszanie komentarzy przez rynek właśnie w zakresie tego komunikatu. Podmioty nadzorowane z niecierpliwością czekały jaka będzie jego ostateczna wersja, instytucje finansowe w Polsce od dłuższego czasu chciały otrzymać od KNFu przejrzyste zasady wykorzystywania technologii chmury obliczeniowej. Właśnie komunikat definiuje te zasady, zastępuje komunikat z 2017 roku, który budził wiele wątpliwości interpretacyjnych.
Pytasz o grono podmiotów, do którego ten komunikat ma mieć zastosowanie. Jest tam użyta definicja podmiotów nadzorowanych i są to banki, zakłady ubezpieczeń, firmy inwestycyjne, ale także KIPy, czyli Krajowe Instytucje Płatnicze. KNF przewidział okres przejściowy do dostosowania działalności przez podmioty nadzorowane, które już stosują technologie chmurową i te podmioty mają czas do 1 sierpnia 2020 roku, natomiast do wszystkich pozostałych komunikat stosuje się od dnia jego wejścia w życie, czyli od 24 stycznia.
Dodatkowo KNF zapowiada warsztaty dla podmiotów nadzorowanych dotyczące chmury w lutym i w czerwcu, gdzie pewnie wiele rzeczy i wiele wątpliwości, które mamy dzisiaj ulegną wyjaśnieniu i dalszym komentarzom ze strony urzędu.
Ł.Ł.: Technologia chmury obliczeniowej ma bardzo szerokie zastosowanie i pewnie nie jesteśmy w stanie wymienić wszystkich przypadków. KNF w komunikacie zdefiniował różne rodzaje chmury, mówimy o chmurze publicznej, prywatnej, hybrydowej, społecznościowej, te definicje znalazły się w komunikacie.
Ważne jest, żeby wspomnieć o tym, że komunikat nie znajduje zastosowania do chmury prywatnej. Co ciekawe KNF zdefiniował np. dostawcę chmury i także samą usługę chmury obliczeniowej.
No i tak według komunikatu dostawcą chmury jest zarówno podmiot dostarczający wystandaryzowane zasoby chmury, jak i dostawca w przypadku, którego usługa chmury obliczeniowej stanowi tylko element usług innego dostawcy, czyli nie mówimy tylko o bezpośredniej współpracy instytucji finansowej z tak zwanymi głównymi dostawcami chmury obliczeniowej, ale też o innych projektach natury outsourcingowej, które mogą element chmurowy zawierać.
A.B.: Oczywiście, obowiązywały przede wszystkim przepisy powszechnie obowiązujące, czyli prawo bankowe w zakresie outsourcingu między innymi mające zastosowanie do właśnie projektów dotyczących chmury, ale także komunikat z 2017 roku dotyczący chmury i szereg rekomendacji KNFu, które dotykały tej tematyki.
Komunikat KNF nie stanowi zmiany przepisów prawa i o tym musimy pamiętać, bo była część osób, która oczekiwała, że on rozwiąże wszystkie problemy, dotyczące wdrażania chmury w bankach, czy innych podmiotach nadzorowanych. No tak się nie może stać, dlatego, że forma komunikatu nie może zmieniać przepisów powszechnie obowiązujących.
KNF wprost wskazuje, że komunikat stanowi interpretację urzędu dotyczącą istniejących przepisów. Trzeba też pamiętać, że komunikat trzeba czytać w relacji do innych działań nadzorczych KNFu, w tym do obowiązujących obecnie rekomendacji.
Kwestie np. wynikające z prawa bankowego, takie jak zakaz ograniczenia odpowiedzialności insourcera czy ograniczenie podoutsourcingu pozostają aktualne i te problemy nie mogły być rozwiązane przy pomocy komunikatu.
Niemniej jednak KNF daje w komunikacie pewne wytyczne i pewne wskazówki interpretacyjne, które można czytać z korzyścią dla banków również w zakresie tych problematycznych przepisów. Takim przykładem są definicje ujawnienia informacji, wyjaśnienia dotyczące kwestii szyfrowania
Ł.Ł.: Nowy komunikat zastępuje, tak jak wspomniała Ola poprzedni wydany przez KNF komunikat z 2017 roku, co oznacza, że podmioty nadzorowane, te zdefiniowane jako nadzorowane w komunikacie muszą obecnie stosować zasady wynikające no właśnie z tego nowego komunikatu, czyli przede wszystkim wszystkie chmurowe wdrożenia powinny brać pod uwagę proponowany przez KNF tak zwany model referencyjny.
Nowością, o której też trzeba wspomnieć jest sprecyzowanie przez KNF wymagań dotyczących np. szyfrowania danych w chmurze i konsekwencji takich działań, ale także zestawu wymogów jakie powinien spełniać dostawca chmury obliczeniowej, żeby móc współpracować z podmiotem nadzorowanym.
Ł.Ł.: KNF wskazuje, że model referencyjny przedstawia podejście wymagane przez KNF, dotyczące projektu obejmującego outsourcing chmurowy. KNF oczekuje, że podmioty nadzorowane będą stosować model referencyjny w przypadku działań związanych zarówno z przygotowaniem, realizacją i zakończeniem przetwarzania informacji w chmurze obliczeniowej.
Jeżeli chodzi o konsekwencje związane z nieprawidłowym stosowaniem zasad wskazanych przez KNF, to trzeba mieć na uwadze możliwość podjęcia standardowych środków nadzorczych przewidzianych dla KNFu. Chyba taką jedną z najbardziej dotkliwych konsekwencji, która może tego rodzaju projektu dotknąć to jest konieczność zmian technologicznych i biznesowych w przypadku zakwestionowania modelu banku. Wydaje się, że dlatego takie wdrożenie warto zaplanować zarówno od strony prawnej, technologicznej, operacyjnej i biznesowej.
A.B., Ł.Ł.: Dziękujemy bardzo.
Podobał ci się odcinek, podziel się z innymi oraz śledź nasze kanały. Więcej podcastów PwC znajdziesz na stronie pwc.pl/podcasty oraz w aplikacjach Spotify, iTunes i Google Music.
Partner, adwokat, PwC Legal Polska
Counsel, radca prawny, PwC Legal Polska