Bank z umową na chmurę obliczeniową w egzotycznym kraju? Co na to komunikat KNF?
Umowa tego rodzaju musi być bardzo szczegółowa i zawierać wiele elementów gwarantujących podmiotowi nadzorowanemu oraz KNF sprawowanie nadzoru i kontroli nad dostawcą. Co z resztą jest najczęściej największym wyzwaniem.
Komunikat nie wspomina o konieczności posiadania umowy w formie pisemnej, a jedynie nakłada wymóg posiadania sformalizowanej umowy. Outsourcing chmury obliczeniowej w rozumienia komunikatu zakłada, że umowa może mieć dowolną formę.
Jeżeli jednak spojrzymy na przepisy prawa bankowego (w szczególności art. 6a) czy ustawy o usługach płatniczych (art. 86), to dojdziemy do prostego wniosku, że w wielu przypadkach będzie to jednak forma pisemna. Takie ukształtowanie komunikatu nie wynika jednak z błędu, a po prostu możliwości zawarcia umowy chmurowej na czynności nieobjęte art. 6a.
Do samej umowy „przynależą” też inne dokumenty, w tym wszelkie oświadczenia stron umowy, regulaminy czy warunki korzystania z usług. Tutaj szczęśliwie KNF dopuszcza, aby dokumenty te były w formie elektronicznej.
Należy jednak pamiętać, że kwestie związane z zawarciem czy aneksowaniem umów podlegają wymogom w zakresie dokumentowania procesów, które przykładowo dla banków określa m.in. Rozporządzenie wydane na podstawie art. 7 prawa bankowego.
Czytaj także: Jak rozumieć komunikat KNF w sprawie chmury obliczeniowej?
Bezpieczeństwo ponad wszystko
Umowa powierzająca określone czynności w ramach outsourcingu chmury obliczeniowej powinna zawierać wiele elementów, w tym jasny podział odpowiedzialności w odniesieniu do bezpieczeństwa przetwarzanych informacji, w szczególności w kontekście informacji prawnie chronionych.
W komunikacie KNF przypomina o konieczności stosowania odpowiednich Recovery Time Objective oraz Recovery Point Objective, czyli wyznaczników efektywności usługi chmurowej (i outsourcingu w ogóle). Te wskaźniki należy skorelować z wymaganiami stawianymi przez KNF m.in. w komunikacie w sprawie raportowania incydentów oraz wymaganiami dla operatorów usług.
Co to oznacza w praktyce? To, że w Service Level Agreement (SLA) należy określić, w jaki sposób mierzone będą wskaźniki efektywności oraz jak będą raportowane, a także w jaki sposób dostawca będzie podnosił tą efektywność. W samej umowie chmurowej należy też wyraźnie określić kto i na jakim etapie odpowiada za zapewnienie odpowiedniego poziomu bezpieczeństwa, również fizycznego.
Lokalizacja, prawo właściwe
To jeden z bardziej „kontrowersyjnych” tematów związanych z przetwarzaniem danych w chmurze. W umowie należy określić w sposób niebudzący wątpliwości, gdzie będą przetwarzane dane w chmurze. Zasadniczo − gdzie znajduje się centrum przetwarzania danych − CPD.
Ponieważ jednak niekiedy może to zagrażać bezpieczeństwu, to KNF dopuszcza jako minimum wskazanie „strefy dostępu” lub regionu, np. wskazanie określonej części państwa członkowskiego. Niekiedy dopuszczalne będzie wskazanie, że jest to region Unii Europejskiej lub EOG.
Tym informacjom musi towarzyszyć wskazanie prawa właściwego dla danej umowy oraz określenie zasad rozstrzygania sporów. Tutaj KNF oczekuje, że – co do zasady – będzie to prawo polskie lub prawo innego państwa członkowskiego.
Jest jednak pewna – trudna do zrealizowania – furtka. Strony mogą się umówić na poddanie umowy prawu państwa trzeciego (np. USA) pod dwoma warunkami:
− taka umowa zapewni skuteczne wykonywanie postanowień umowy, wymogów prawa polskiego (regulacyjnych) oraz wytycznych KNF (w tym komunikatu chmurowego) oraz
− podmiot nadzorowany przedstawi pisemną opinię prawną, która potwierdzi, że w świetle tego prawa obcego spełnione będą powyższe warunki oraz umożliwi ono „wykonanie” komunikatu chmurowego.
Należy w tym miejscu zwrócić uwagę, że niewłaściwe zabezpieczenie przez podmiot nadzorowany „właściwego prawa” dla umowy będzie miało skutki dla tego podmiotu i może skutkować podjęciem przez KNF stosownych działań nadzorczych z nakazaniem rozwiązania umowy włącznie. Choć to chyba najłagodniejsza „kara” w rękach nadzoru.
Czytaj także: RODO a PSD2: przetwarzanie wrażliwych danych osoby trzeciej przez dostawcę AIS
Wskazanie sądu (organu) właściwego do rozstrzygania sporów ma również duże znaczenie. Można śmiało założyć, że KNF będzie oczekiwał, że w umowie rozstrzyganie sporów zostanie powierzone polskiemu sądowi powszechnemu. Poddanie takiej umowy sądowi z państwa trzeciego, czy też np. organizacji międzynarodowej zajmującej się arbitrażem niekoniecznie musi być więc korzystne. Jakkolwiek koncyliacyjne podejście do sporów zasługuje na aprobatę.
Dane osobowe jak zwykle najważniejsze
I nie przeczy to tezie, że bezpieczeństwo jest ważne „ponad wszystko”. W umowie i/lub w stosownym oświadczeniu należy wyraźnie potwierdzić, że przetwarzanie danych osobowych jest zgodne z prawem Unii Europejskiej (głównie z Rozporządzeniem 2016/679 – RODO oraz Rozporządzeniem 2018/1807 – szczególnie istotnym dla Big Data).
Chyba, że nie znajdują one zastosowania, co może mieć miejsce w przypadku państwa trzeciego. Nie zmienia to jednak faktu, że prawo właściwe powinno być de facto równoważne RODO, co z resztą musi wynikać wprost z samej opinii prawnej, o której pisałem powyżej.
Pewne trudności z akceptacją przez KNF mogą mieć więc takie umowy, które zostały poddane prawu, w którym naruszenie tajemnicy zawodowej nie podlega penalizacji. Podobnie będzie w przypadku, gdy prawo właściwe nie przewiduje równoważnych obowiązków w zakresie uzyskiwania informacji o przetwarzaniu czy realizacji praw przysługujących osobom, których dane są przetwarzane.
Dodatkowo w umowie należy wskazać kto jest „ownerem” przetwarzanych informacji w trakcie trwania umowy oraz po jej zakończeniu, w tym w przypadku, gdy np. dojdzie do upadłości dostawcy usługi chmurowej (lub innego zdarzenia mającego wpływ na umowę). Ma to o tyle znaczenie, że nieplanowane przerwanie dostępu i utrata danych może oznaczać bardzo negatywne konsekwencje dla podmiotu nadzorowanego i jego klientów.
Czytaj także: RODO a PSD2. Wyzwania dla TPP oraz banków w kontekście otwartej bankowości
W tym miejscu można również wskazać, jaki jest dokładny zakres „ownership” konkretnych typów danych i ewentualnie − w jaki sposób są one zabezpieczane (np. w kontekście pseudonimizacji). Należy też określić, w jaki sposób dane będą „zwracane” klientowi i ewentualnie utylizowane po stronie dostawcy – w tym w kontekście kopii zapasowych.
Dla KNF prawidłowe zapewnienie bezpieczeństwa danych jest priorytetem. Dlatego też KNF wprost rekomenduje korzystanie z CPD zlokalizowanych na terytorium EOG. Ciekawi mnie − w jaki sposób KNF podejdzie do centrów zlokalizowanych w Wielkiej Brytanii, choć już większość dostawców przeniosła swoje centra m.in. do Irlandii.
Na dziś to koniec…
A to w zasadzie dopiero początek. Temat jest trudny i wymagający. Komunikat nie daje nadziei na zliberalizowanie podejścia do umów z dostawcami spoza EOG, co oczywiście ma związek z potencjalną (nie)efektywnością i (nie)skutecznością nadzoru KNF i podmiotu nadzorowanego nad dostawcą chmury.
Czytaj także: Czy lokalne centra danych to dobre rozwiązanie? Financial Stability Board o chmurze
Warto przypomnieć jedynie, że nawet poddanie umowy danemu prawu oraz wyraźne określenie lokalizacji CPD wcale nie musi oznaczać, że wszystkie dane są przetwarzane tylko i wyłącznie tam. Takie określenie zapisów umowy ma oczywiście znaczenie w kontekście odpowiedzialności odszkodowawczej, ale czy zawsze mamy pewność, gdzie znajdują się nasze dane?
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.