Łańcuch outsourcingowy w chmurze obliczeniowej pod lupą Komisji Nadzoru Finansowego

Wytyczne KNF z dnia 23 stycznia 2020 r. dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej

W praktyce biznesowej korzystanie z podwykonawców i dalszych podwykonawców przez dostawców usług w chmurze obliczeniowej niczym nie różni się od innych branż – jest czymś powszechnym i naturalnym. Z uwagi na niejednoznaczne przepisy prawa, oczekiwaniem środowiska IT było zajęcie przez KNF w wytycznych wyraźnego stanowiska w kwestii dopuszczalności łańcucha outsourcingowego, tak aby w sposób wyraźny i jednoznaczny zniwelować bariery. Przypomnijmy, że wprawdzie ani prawo bankowe ani ustawa o działalności ubezpieczeniowej i reasekuracyjnej nie zakazują korzystania z podwykonawców w ramach outsourcingu, jednakże nadzór stał na stanowisku, że wobec braku wyraźnej podstawy prawnej – nie jest to dopuszczalne.

W wytycznych z dnia 23 stycznia 2020 r. dotyczących przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej KNF owszem odniosła się do kwestii łańcucha outsourcingowego, jednocześnie jednak przerzucając cały ciężar oceny jego dopuszczalności w świetle przepisów prawa i w odniesieniu do konkretnych czynności na podmioty nadzorowane.

Według KNF tworzenie łańcucha outsourcingowego powinno być każdorazowo oceniane przez podmiot nadzorowany z perspektywy przepisów szczególnych prawa dotyczących konkretnie realizowanych czynności przetwarzania informacji w chmurze obliczeniowej, a w szczególności:

a) tworzenie łańcucha outsourcingowego w zakresie działalności nadzorowanej jest dopuszczalne wyłącznie w granicach przewidzianych przepisami prawa;

b) tworzenie łańcucha outsourcingowego w zakresie innym niż w zakresie działalności nadzorowanej jest dopuszczalne, o ile nie jest wprost zakazane przez przepisy prawa lub postanowienia umowne

Takie stanowisko Komisji nie pomaga środowisku IT, gdyż to właśnie czynności wykonywane w ramach działalności nadzorowanej są najczęściej przedmiotem outsourcingu bankowego i ubezpieczeniowego.

W wytycznych KNF znajdziemy także zastrzeżenie, że zakres odpowiedzialności dostawcy usług chmury obliczeniowej oraz jego poddostawców wobec podmiotu nadzorowanego może ulegać ograniczeniu albo wyłączeniu wyłącznie w granicach szczególnych przepisów prawa regulujących działalność podmiotu nadzorowanego, przy czym Komisja krytycznie ocenia takie wyłączenia albo ograniczenia, jeżeli:

  1. w ramach usługi chmury obliczeniowej przetwarzane są informacje prawnie chronione szyfrowane za pomocą kluczy szyfrujących dostarczonych lub zarządzanych przez dostawcę usług chmury obliczeniowej lub jego poddostawcę lub
  2. przetwarzanie ma charakter outsourcingu szczególnego chmury obliczeniowej

Przepisy prawa wyłączają ograniczenie odpowiedzialności za szkody wyrządzone klientom banku i ubezpieczyciela oraz za szkody wyrządzone umyślnie podmiotom nadzorowanym przez dostawcę chmury. W świetle powyższych wytycznych każde ograniczenie odpowiedzialności dostawcy wobec banku lub zakład ubezpieczeń, np. poprzez wprowadzenie limitu odpowiedzialności z tytułu kar umownych w ramach umowy SLA, nie będzie dopuszczalne zwłaszcza w ramach outsourcingu szczególnego chmury obliczeniowej.

Leave a Reply