Wytyczne KNF z dnia 23 stycznia 2020 r. dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej

W praktyce biznesowej korzystanie z podwykonawców i dalszych podwykonawców przez dostawców usług w chmurze obliczeniowej niczym nie różni się od innych branż – jest czymś powszechnym i naturalnym. Z uwagi na niejednoznaczne przepisy prawa, oczekiwaniem środowiska IT było zajęcie przez KNF w wytycznych wyraźnego stanowiska w kwestii dopuszczalności łańcucha outsourcingowego, tak aby w sposób wyraźny i jednoznaczny zniwelować bariery. Przypomnijmy, że wprawdzie ani prawo bankowe ani ustawa o działalności ubezpieczeniowej i reasekuracyjnej nie zakazują korzystania z podwykonawców w ramach outsourcingu, jednakże nadzór stał na stanowisku, że wobec braku wyraźnej podstawy prawnej – nie jest to dopuszczalne.
W wytycznych z dnia 23 stycznia 2020 r. dotyczących przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej KNF owszem odniosła się do kwestii łańcucha outsourcingowego, jednocześnie jednak przerzucając cały ciężar oceny jego dopuszczalności w świetle przepisów prawa i w odniesieniu do konkretnych czynności na podmioty nadzorowane.
Według KNF tworzenie łańcucha outsourcingowego powinno być każdorazowo oceniane przez podmiot nadzorowany z perspektywy przepisów szczególnych prawa dotyczących konkretnie realizowanych czynności przetwarzania informacji w chmurze obliczeniowej, a w szczególności:
a) tworzenie łańcucha outsourcingowego w zakresie działalności nadzorowanej jest dopuszczalne wyłącznie w granicach przewidzianych przepisami prawa;
b) tworzenie łańcucha outsourcingowego w zakresie innym niż w zakresie działalności nadzorowanej jest dopuszczalne, o ile nie jest wprost zakazane przez przepisy prawa lub postanowienia umowne
Takie stanowisko Komisji nie pomaga środowisku IT, gdyż to właśnie czynności wykonywane w ramach działalności nadzorowanej są najczęściej przedmiotem outsourcingu bankowego i ubezpieczeniowego.
W wytycznych KNF znajdziemy także zastrzeżenie, że zakres odpowiedzialności dostawcy usług chmury obliczeniowej oraz jego poddostawców wobec podmiotu nadzorowanego może ulegać ograniczeniu albo wyłączeniu wyłącznie w granicach szczególnych przepisów prawa regulujących działalność podmiotu nadzorowanego, przy czym Komisja krytycznie ocenia takie wyłączenia albo ograniczenia, jeżeli:
- w ramach usługi chmury obliczeniowej przetwarzane są informacje prawnie chronione szyfrowane za pomocą kluczy szyfrujących dostarczonych lub zarządzanych przez dostawcę usług chmury obliczeniowej lub jego poddostawcę lub
- przetwarzanie ma charakter outsourcingu szczególnego chmury obliczeniowej
Przepisy prawa wyłączają ograniczenie odpowiedzialności za szkody wyrządzone klientom banku i ubezpieczyciela oraz za szkody wyrządzone umyślnie podmiotom nadzorowanym przez dostawcę chmury. W świetle powyższych wytycznych każde ograniczenie odpowiedzialności dostawcy wobec banku lub zakład ubezpieczeń, np. poprzez wprowadzenie limitu odpowiedzialności z tytułu kar umownych w ramach umowy SLA, nie będzie dopuszczalne zwłaszcza w ramach outsourcingu szczególnego chmury obliczeniowej.