Przez ponad dwa lata obowiązywania poprzedniego komunikatu sektor finansowy mierzył się z wieloma praktycznymi problemami wynikającymi z jednej strony z niejasności dotychczasowych wytycznych, a z drugiej strony z nieprzystawania przepisów prawa o outsourcingu do realiów korzystania z chmury obliczeniowej.

Dlatego nowy komunikat UKNF, wydany 24 stycznia, wywołał duże poruszenie zarówno wśród podmiotów nadzorowanych, jak i dostawców usług chmurowych. Dość wspomnieć, że już w pierwszych tygodniach obowiązywania komunikatu dało się zaobserwować wzmożone działania instytucji, które chcą jak najszybciej wykorzystać nowe, korzystniejsze środowisko regulacyjne.

Zobacz również:

• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
• Jak sektor finansowy dba o bezpieczeństwo

UKNF naturalnie zachowuje ostrożnościowe podejście wynikające z roli, jaką pełni na rynku finansowym. Finalna wersja komunikatu wprowadza jednak wiele rozwiązań, które adresują oczekiwania podmiotów sektora finansowego, podnoszone przez ostatnie lata w dyskusjach branżowych. Wydaje się również, że daje garść praktycznych wskazówek dotyczących tego, w jaki sposób odpowiednie środki techniczne i organizacyjne mogą ułatwić uniknięcie zderzenia z niektórymi barierami prawnymi.

W dalszej części artykułu przedstawiamy pięć zmian w stosunku do dotychczasowego stanowiska UKNF, które mogą mieć najciekawszy wpływ na praktykę wdrożeń chmurowych w sektorze finansowym.

Zakres stosowania

Jedną z istotnych przyczyn ostrożnościowego (niekiedy nadmiernie) podejścia do wdrażania usług chmurowych przez sektor finansowy był niejasny zakres stosowania komunikatu UKNF, wynikający chociażby z braku definicji informacji prawnie chronionych. Czy chodziło wyłącznie o informacje objęte tajemnicami sektora finansowego, czy również np. o dane osobowe nieobjęte takimi tajemnicami?

Wątpliwości w tym zakresie zostały w znacznym stopniu rozwiane w nowym komunikacie. Powinien on być stosowany w dwóch sytuacjach. Po pierwsze, jeżeli w chmurze publicznej lub chmurze hybrydowej przetwarzane są informacje prawnie chronione, czyli informacje objęte jedną z tajemnic sektora finansowego, np. tajemnicą bankową. Po drugie, jeżeli przetwarzanie informacji, w tym informacji prawnie chronionych, w chmurze publicznej lub hybrydowej ma charakter outsourcingu szczególnego, np. outsourcingu takich czynności, których niewykonanie może w sposób istotny zakłócić ciągłość wykonywania przez podmiot nadzorowany jego działalności.

Dzięki wprowadzeniu pojęcia outsourcingu szczególnego oraz zdefiniowaniu informacji prawnie chronionych zakres usług chmurowych, do których stosowane będą w praktyce wymagania komunikatu, może być zawężony i racjonalizowany. Zbliża to również podejście UKNF do podejścia nadzorców europejskich, takich jak Europejski Urząd Nadzoru Bankowego (EBA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA).

Nowe obowiązki informacyjne

Styczniowy komunikat przewiduje obowiązek informowania Nadzoru z 14-dniowym wyprzedzeniem o każdym przypadku wdrożenia outsourcingu szczególnego lub rozpoczęcia przetwarzania informacji prawnie chronionych, chyba że inny termin przewidują przepisy sektorowe, np. zakłady ubezpieczeń we właściwych przypadkach nadal powinny stosować termin 30-dniowy.

W wypadku, gdy podmiot nadzorowany korzystał z usług chmurowych już w chwili wejścia w życie komunikatu, czyli przed 23 stycznia tego roku, powinien poinformować o tym UKNF nie później niż do 1 sierpnia 2020 r. Zakres informacji wymaganych przez Nadzór został wskazany w komunikacie – formularz zawiadomienia jest załącznikiem do komunikatu. Co więcej, dla ułatwienia UKNF dołączył do komunikatu przykład wypełnienia tego załącznika.

Te wszystkie miłe prezenty nie powinny jednak uśpić naszej czujności. Do obowiązku notyfikacji należy podejść wyjątkowo starannie, a niekiedy czytać między wierszami oczekiwania i intencje UKNF.

Każde zawiadomienie, pomimo pozornie prostego i przejrzystego formularza oraz stosunkowo niewielkiej liczby wymaganych informacji, musi być poprzedzone szczegółową analizą zgodności danego rozwiązania z komunikatem. Zgodność ta powinna być potwierdzona przez podmiot nadzorowany w samym zawiadomieniu.

Łańcuchy outsourcingowe i chmury warstwowe

W pewnym zakresie UKNF rozwiewa wątpliwości co do możliwości tworzenia tzw. łańcuchów outsourcingowych, w tym w szczególności korzystania z dalszych poddostawców. Nowy komunikat dostarcza wielu wskazówek, które – jak się wydaje – mają na celu umożliwienie podmiotom nadzorowanym tworzenie złożonych, a jednocześnie stosunkowo bezpiecznych łańcuchów.

Przede wszystkim w nowym komunikacie pojawia się definicja łańcucha outsourcingowego. Obejmuje ona relacje polegające na:

• powierzeniu przez dostawcę chmurowego części czynności wykonywanych w ramach świadczenia usług swojemu poddostawcy i dalszym poddostawcom (np. wsparcie, techniczna obsługa data center itp.),
• dostarczaniu przez dostawcę chmurowego swojej usługi innemu dostawcy, który wykorzystuje tę usługę do świadczenia własnej usługi bezpośrednio dla podmiotu nadzorowanego (np. tworzenie tzw. „chmur warstwowych”, czyli budowanie rozwiązań SaaS na podstawie usług IaaS/PaaS innego dostawcy).

Jednocześnie nadzór podkreśla, że dopuszczalność tworzenia takich łańcuchów powinna być analizowana na gruncie właściwych przepisów prawa. Nie rozjaśnia zatem wątpliwości, które pojawiają się wciąż chociażby na gruncie przepisów prawa bankowego (w szczególności art. 6a ust. 7). Dość powszechnie interpretowane są one jako uniemożliwiające tworzenie łańcuchów dłuższych niż zawierające jeden „poziom” poddostawców.

Sytuację ratować mogą jednak – przynajmniej w pewnym zakresie – nowo wprowadzone definicje poddostawcy oraz ujawnienia informacji. Poddostawcą w rozumieniu komunikatu jest bowiem taki podmiot, który posiada albo może posiadać identyfikowany dostęp do powierzonych przez podmiot nadzorowany informacji, w praktyce – przede wszystkim objętych tajemnicą. Jeśli zatem dany poddostawca lub dalszy poddostawca takiego dostępu nie ma, to wydaje się, że problemy wynikające z przepisów sektorowych, np. „zakaz” korzystania z dalszych poddostawców czy wymóg uzyskania zezwolenia KNF na korzystanie z poddostawcy spoza UE, nie powinny mieć znaczenia.

Poufność i szyfrowanie

W kontekście wymogu zapewnienia bezpieczeństwa informacji ciekawe i – jak się wydaje – mające potencjalnie duży wpływ na praktykę są uwagi nadzoru dotyczące szyfrowania oraz ujawniania informacji.

Zasadą ma być szyfrowanie in transit oraz at rest wszystkich danych przetwarzanych w chmurze. Podmioty nadzorowane mogą odstąpić od tej zasady wtedy, gdy szyfrowanie nie jest technologicznie możliwe lub ekonomicznie zasadne.

Jednocześnie nadzór nie dopuszcza korzystania z tych wyjątków w przypadku przetwarzania informacji prawnie chronionych – te powinny być szyfrowane zawsze. Wydaje się, że wymóg ten uniemożliwi korzystanie przez podmioty nadzorowane z pokaźnej grupy narzędzi chmurowych, np. zaawansowanej analityki, uczenia maszynowego itp.

Ponadto, w ocenie UKNF, zaszyfrowanie danych in transit i at rest oraz zarządzanie kluczami szyfrującymi i zaszyfrowanymi danymi w taki sposób, aby dostępu do nich nie posiadali (i nie mogli posiadać) dostawca oraz jego poddostawcy, nie stanowi ujawnienia informacji.

W praktyce zastosowanie takich mechanizmów szyfrowania powinno np. likwidować wspomniane problemy pojawiające się w kontekście zarządzania poddostawcami – skoro nie ujawniamy informacji poddostawcy, to nie powinny mieć do niego zastosowania szczególne wymagania wynikające np. z prawa bankowego. Widać jednak pewne ryzyko związane z powoływaniem się na taką interpretację, ponieważ wytyczne dotyczące łańcuchów nie mogą wpływać na bezwzględnie wiążące przepisy prawa bankowego – intencja nadzoru w tym zakresie nie jest jasna.

Z drugiej strony, jeżeli dane objęte tajemnicą zostaną zaszyfrowane in transit oraz at rest, ale dostęp do kluczy będzie posiadał dostawca lub jego poddostawcy, to nadal konieczne będzie zapewnienie podstawy prawnej dla ujawnienia takich informacji. Tym bardziej niewystarczające będzie np. wyłącznie kontraktowe uregulowanie zarządzania dostępem. A, przykładowo, przepisy prawa bankowego w ogóle nie przewidują podstawy dla ujawnienia tajemnicy dalszym poddostawcom.

Lokalizacja przetwarzania

Wymóg określenia lokalizacji centrów danych na gruncie poprzedniego komunikatu był często interpretowany (z naszych doświadczeń wynika, że również przez nadzór) jako nakaz wskazywania w pisemnej umowie dokładnej lokalizacji wykorzystywanych przez dostawcę serwerowni. W nowych wytycznych zauważalne jest dostosowanie podejścia nadzorcy do realiów rynku.

UKNF wprost dopuszcza wskazanie lokalizacji przetwarzania danych poprzez referencyjne odniesienie do właściwych dokumentów, opisów konfiguracyjnych, metod i narzędzi. Jak rozumiemy, obecnie może być to np. umowne odesłanie do konsoli administracyjnej, w której klient samodzielnie dokonuje wyboru lokalizacji przetwarzania danych, czy też do dokumentacji publikowanej przez dostawcę.

UKNF podaje dodatkowo, że wskazanie lokalizacji może być ograniczone do pojęć takich jak „strefa dostępu”, „region” itp., co najmniej z podaniem kraju oraz przybliżonej lokalizacji centrum danych, np. miejscowości lub regionu tego kraju. W wyjątkowych sytuacjach UKNF dopuszcza również wskazanie regionu przetwarzania danych poprzez użycie bardziej ogólnych zwrotów, takich jak Europejski Obszar Gospodarczy.

Nadzór rekomenduje jednocześnie, aby centrum danych było zlokalizowane na terytorium państwa członkowskiego EOG, przy czym bardziej restrykcyjne wytyczne mają zastosowanie do operatorów usług kluczowych oraz operatorów infrastruktury krytycznej. Jest to zapewne element szerszego zagadnienia prawnego uregulowania „narodowości danych". I choć formalnie w komunikacie nie znalazły się wymogi, które jednoznacznie ograniczają możliwość przetwarzania danych poza terytorium Polski czy EOG, to w przypadku części banków co najmniej pożądane będzie przeprowadzenie analizy polegającej na porównaniu rozwiązań w dostępnych w Polsce i poza jej granicami.

***

Michał Kulesza, Paweł Szorc, Piotr Filipowski

Michał Kulesza, adwokat w kancelarii Maruta Wachta, specjalizuje się w zagadnieniach związanych z kontraktami IT, a także zamówieniami publicznymi i postępowaniami spornymi.

Piotr Filipowski, prawnik w kancelarii Maruta Wachta, specjalizuje się w zagadnieniach z zakresu prawa nowych technologii, kontraktach IT a także regulacjach sektora finansowego i prawie bankowym.

Paweł Szorc, prawnik w kancelarii Maruta Wachta, specjalizuje się w prawie nowych technologii, w szczególności w zakresie kontraktów IT, własności intelektualnej, technologii finansowych oraz ochrony danych osobowych i prywatności.