Zmiany przepisów ułatwiają outsourcing IT

Nowelizacja ustawy Prawo bankowe złagodziła przepisy dotyczące stosowania outsourcingu w Polsce. Komisja Europejska chce ułatwić korzystanie z usług w modelu cloud computing.

Nieco ponad miesiąc temu, dzięki nowelizacji Prawa bankowego, dokonano wielu ważnych dla sektora bankowego zmian w zakresie stosowania outsourcingu IT. Jak mówi Maciej Gawroński, partner i szef polskiego oddziału kancelarii Bird & Bird, było to jedynie dostosowanie obowiązujących przepisów do rzeczywistości.

Mniej biurokracji

W nowelizacji wprowadzono trzy istotne zmiany. Po pierwsze, umożliwiono dostawcom usług outsourcingowych zlecanie niektórych działań podwykonawcom. "To oczywiście już się działo od lat, choć nie było jasno określone w obowiązujących przepisach" - przyznaje Gawroński. Ponadto nowe przepisy mają na podobnych zasadach traktować firmy oferujące usługi outsourcingu w Polsce i w pozostałych krajach Unii Europejskiej. "Zgodnie z przepisami o swobodzie świadczenia usług powinno tak już być od 1 maja 2004, gdy weszliśmy do Unii Europejskiej" - zauważa szef polskiego oddziału kancelarii Bird & Bird.

Trzecia, równie istotna zmiana dotyczy likwidacji wymogu zgłaszania do Komisji Nadzoru Finansowego zamiaru skorzystania z outsourcingu oferowanego zarówno przez podmiot krajowy, jak i unijny. "Trzeba być jedynie gotowym na odpowiedzi na pytania z KNF" - wyjaśnia Maciej Gawroński. "Przed nowelizacją trzeba było przesłać do Komisji wymagane dane przed podpisaniem umowy. KNF dostał jednak tyle wniosków o zgodę na outsourcing, że nie był w stanie się z tym uporać. Zrezygnowano więc z tego wymogu" - dodaje.

Przy tej okazji należy zwrócić uwagę, że przygotowywana jest również nowelizacja prawa ubezpieczeniowego. Zostanie ono dostosowane do zasad obowiązujących w prawie bankowym. Zmiany mają wejść w życie we wrześniu lub październiku 2012 roku.

Paneuropejski rynek

Równolegle Komisja Europejska pracuje nad nową strategią dotyczącą usług cloud computing. Ma ona obowiązywać w całej Unii Europejskiej. "Nowa strategia będzie polegała na harmonizacji prawa, które przyczyni się do upowszechnienia cloud computing we wszystkich krajach Unii Europejskiej" - zapowiada Neelie Kroes, Komisarz UE ds. Agendy Cyfrowej. Strategia Przetwarzania Danych w Chmurze powinna zostać ogłoszona przez KE na wiosnę 2012.

Niedawno w Parlamencie Europejskim odbyła się konferencja "Cloud computing: siła napędowa przyszłego wzrostu i tworzenia miejsc pracy w Europie Środkowej i Wschodniej". Zorganizowana została przez Rafała Trzaskowskiego, członka Europejskiej Partii Ludowej, we współpracy z polskim biurem Microsoft, partnerem polskiej prezydencji. Przedstawiciele Microsoftu powołują się na przykład wykorzystania cloud computing w Grecji. Do roku 2020, dzięki wykorzystaniu tego modelu biznesowego, powstać ma tam 38 tys. nowych miejsc pracy. Jednocześnie greccy przedsiębiorcy mają zaoszczędzić 5 mld euro.

"Jak wszyscy wiemy, nowe firmy generują wzrost gospodarczy i zatrudnienie. Nowe technologie sprawiły, że dużo prościej i taniej można założyć firmę, zarówno w sektorach tworzących rozwiązania IT, jak i tych, które je wykorzystują" - przekonuje Rafał Trzaskowski.

Polskie realia

Kancelaria Bird & Bird opracowała dla Związku Banków Polskich raport "Cloud Computing w sektorze finansowym - regulacje i standardy". "Dotychczas nie ma w Polsce przepisów ani urzędowych interpretacji czy zaleceń odnoszących się bezpośrednio do przetwarzania chmurowego. Istnieją natomiast normy regulujące powierzanie przetwarzania informacji oraz outsourcing. Stąd w tym dokumencie staramy się interpretować istniejące regulacje pod kątem tego, jakie tworzą uwarunkowania dla cloud computing" - mówi Maciej Gawroński, który odpowiadał za redakcję raportu.

Regulacje, które odnoszą się do przetwarzania chmurowego, to przede wszystkim przepisy o ochronie danych osobowych oraz przepisy dotyczące outsourcingu. Z punktu widzenia ochrony danych osobowych cloud computing stanowi powierzenie przetwarzania danych osobowych innemu podmiotowi. Istnieje rozbieżność pomiędzy tradycyjnym, terytorialnym spojrzeniem na ochronę danych osobowych a modelem przetwarzania w chmurze. Organy ochrony danych osobowych wskazują, że uprawnienia właściciela informacji względem dostawcy chmury są iluzoryczne. Rozwiązaniem może być nowe podejście do rozumienia tych uprawnień.

Po pierwsze, prawo nadzoru nad danymi powinno być rozumiane w ten sposób, że właściciel informacji, wybierając dostawcę chmury, dokonuje wyboru sposobu przetwarzania danych w chmurze. Ten wybór byłby oparty na tym, że właściciel informacji może skorzystać z usługi o określonych, standardowych parametrach i może w każdym czasie z niej zrezygnować - nie może jednak modyfikować usługi czy dostosowywać jej do swoich indywidualnych potrzeb. Po drugie, nadzór i audyt mógłby być dokonywany za pośrednictwem odpowiednich certyfikowanych podmiotów trzecich.

Właściciel danych powinien wiedzieć, gdzie znajdują się jego dane i kto je przetwarza. Rozwiązaniem mogłoby być określenie podmiotów i lokalizacji, w których można przetwarzać dane. W razie potrzeby możliwe byłoby zlokalizowanie miejsca przetwarzania danych oraz podmiotu przetwarzającego. Natomiast z perspektywy bezpieczeństwa danych nie ma potrzeby, aby właściciel danych permanentnie je śledził lub musiał mieć wiedzę, gdzie w danej chwili się one znajdują.

Regulacje dla sektora finansowego dotyczące outsourcingu wyróżniają przypadek czynności i procesów o krytycznym znaczeniu dla organizacji. Za takie uważa się czynności związane z dostępem do informacji prawnie chronionej oraz takie, których zakłócenie naruszyłoby zdolność instytucji finansowej do świadczenia usług swoim klientom. Podobnie jak w przypadku ochrony danych osobowych Unia Europejska z dużo większą nieufnością (a co za tym idzie, z większym formalizmem) traktuje przetwarzanie danych poza terytorium Europejskiego Obszaru Gospodarczego.

"Wydaje się, że przechodzenie do chmury będzie postępować. Już w tej chwili duża część najpopularniejszych usług konsumenckich świadczona jest z wykorzystaniem chmur obliczeniowych. Wygoda dla konsumenta z tym związana powoduje, że procesu tego w obszarze B2C raczej nie da się zatrzymać. W obszarze B2B proces jest wolniejszy, bardziej kontrolowany administracyjnie i z większą odpowiedzialnością traktowany przez potencjalnych klientów" - stwierdza Gawroński.

Cloud computing a systemy krytyczne

W przypadku, gdy do chmury miałaby zostać przeniesiona czynność krytyczna, regulacje zobowiązują zarówno klienta, jak i dostawcę usługi do zwrócenia uwagi na następujące kwestie:

- odpowiedzialność - brak ograniczenia odpowiedzialności dostawcy za szkodę;

- bezpieczeństwo informacji - regulatorzy oczekują, aby instytucja finansowa znała i kontrolowała swoje ryzyko operacyjne;

- ciągłość działania - rozumiana jako jeden z aspektów bezpieczeństwa informacji;

- monitorowanie ryzyka - wiedza o tym, jakie jest rzeczywiste ryzyko związane z korzystaniem z usług podmiotu zewnętrznego.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200