Temat numeru: Wyniesie banki w chmury?
Karol Jerzy Mórawski
Bez wątpienia RODO przyczyni się do pogłębienia penetracji cloudu w sektorze bankowym. Trudno dziś oceniać w jakiej perspektywie czasowej to nastąpi, jednak ostatecznie będą to zmiany zauważalne – przekonuje mec. Maciej Gawroński, ekspert Komisji Europejskiej ds. kontraktów Cloud Computingowych oraz konsultant Grupy Roboczej Artykułu 29. To dobra wiadomość zwłaszcza dla polskich banków, które – pomimo wzorcowego poziomu zaawansowania technologicznego w jakże wielu obszarach – wciąż nie wykorzystują w pełni outsourcingu procesów biznesowych.
Outsourcer nie ucieknie od odpowiedzialności
Za niechęć rodzimych instytucji finansowych do cloudu w pewnym stopniu odpowiadać może ich nowoczesność. Wytworzenie zaawansowanych struktur IT wewnątrz banków sprawia, że wiele procesów da się opanować własnymi siłami, a zatem wsparcie ze strony outsourcera nie przesądza o dalszym funkcjonowaniu placówki. Kluczowym problemem w tym obszarze pozostaje jednak odmienne podejście do odpowiedzialności outsourcera w zakresie tzw. istotnych czynności bankowych, z czym wiąże się również odpowiedzialność związana z dostępem do tajemnicy bankowej. Przepisy prawa bankowego przewidują w takich przypadkach nieograniczoną odpowiedzialność dostawcy usług, co pozostaje w pewnej sprzeczności z praktyką stosowana przez outsourcerów.
„Globalni dostawcy, co do zasady nie akceptują nieograniczonej odpowiedzialności. Jednocześnie, uwzględniając ich pozycję rynkową oraz możliwość utraty reputacji, podejmują wszelkie możliwe działania ograniczające do minimum ryzyka związane z wykorzystaniem usług w modelu chmurowym” – czytamy w raporcie, przygotowanym przez Microsoft na Europejski Kongres Finansowy w 2014 r. (patrz – Andrzej Gibas, Maciej Gawroński, Robert Gajda. „Czas na chmurę w sektorze finansowym w Polsce!” – przyp. red.). Autorzy opracowania zwrócili także uwagę na fakt, iż zakaz ograniczenia odpowiedzialności podwykonawcy pracującego dla sektora finansowego nie występował dotychczas w prawie unijnym, był on również ewenementem na tle pozostałych krajów członkowskich. Sytuacje znacząco zmienia RODO; model zawarty w tej regulacji bliski jest rozwiązaniom znanym z polskiego prawa bankowego.
– W myśl ogólnego rozporządzenia o ochronie danych także dostawca usług IT podlega karom administracyjnym, jak i odpowiedzialności względem podmiotów danych i nie może się wyzbyć lub ograniczyć tej odpowiedzialności. RODO nakłada bezpośrednią odpowiedzialność na przetwarzających dane za działania niegodne z ich obowiązkami czy wręcz samowolne – zauważył Maciej Gawroński. Wprawdzie regulacje zawarte w unijnym rozporządzeniu mają zastosowanie jedynie do ochrony danych, jednak istnieje duża szansa, że przyczynią się one do zwiększenia świadomości outsourcerów. – Uważam, że znacząco zmniejszy się obszar rozbieżności pomiędzy bankami-klientami a dostawcami IT. Może to wpłynąć na gotowość tych ostatnich do przyjęcia nieograniczonej odpowiedzialności, zgodnie z zapisami prawa bankowego, gdyż ta odpowiedzialność w zasadzie pokrywa się z odpowiedzialnością z RODO – ocenił nasz rozmówca.
Standaryzacja oznacza jakość
Bodźcem w poważnym stopniu motywującym korporacje, w tym również banki, do korzystania z rozwiązań chmurowych może okazać się przewidziana przez RODO konieczność uwzględnienia ochrony danych już na poziomie wyboru systemu teleinformatycznego (privacy by design). – Narzucając na wszystkie podmioty bez wyjątku wymogi w zakresie rozliczalności, poziomu cyberbezpieczeństwa, notyfikacji naruszeń oraz szereg wymogów funkcjonalnych w rodzaju praw jednostki, Ogólne rozporządzenie o ochronie danych w znaczącym stopniu przyczynia się do standaryzacji rynku – zauważył Maciej Gawroński.
Ujednolicenie wymogów w zakresie ochrony danych wraz z ryzykiem kar i roszczeń prywatnych oznaczać będzie również, iż rywalizacja pomiędzy poszczególnymi podmiotami w tym obszarze wreszcie zacznie mieć sens. W konsekwencji może dojść zarówno do wykształcenia sektorowych instrumentów ułatwiających przekonanie klientów – tak przyszłych, jak i dotychczasowych – że dany dostawca usług IT spełnia wszystkie obowiązki przewidziane przez RODO. Zdaniem Macieja Gawrońskiego, instrumenty te mogą przybrać zarówno formę kodeksów dobrych praktyk, jak też dobrowolnej certyfikacji poszczególnych outsourcerów przez jednostki notyfikowane oraz nowo powstały Urząd Ochrony Danych Osobowych.
Procesem wspierającym kształtowanie się „pierwszej ligi” bezpiecznych dostawców IT będzie również obowiązek zgłaszania naruszeń ochrony danych do UODO, dzięki czemu urząd – a za jego pośrednictwem również unijny organ ochrony danych – będzie mieć świadomość o skuteczności zabezpieczeń wdrożonych przez poszczególne podmioty. Weryfikacja poziomu zgodności dostawcy rozwiązań chmurowych ze standardami ochrony danych może niekiedy przekonać banki do rezygnacji z rozwijania własnych platform IT (które również będą musiały odpowiadać wymogom RODO) na rzecz chmury.
Konsekwencją standaryzacji będzie również sukcesywne podwyższanie jakości usług, będące prostą konsekwencją przewidzianej przez RODO permanentnej analizy realizowanych procesów pod kątem zgodności z zasadami ochrony danych osobowych. Tak wyśrubowane wymogi będą w stanie spełnić jedynie najbardziej zaawansowani dostawcy IT, a zatem na rynku outsourcingu będziemy mieli do czynienia z konsolidacją. Mec. Gawroński przekonuje, że proces konsolidacji systemów – bądź wewnątrz organizacji, bądź z wykorzystaniem rozwiązań chmurowych – będzie korzystny dla sektora finansowego. – W centralnej architekturze łatwiej zarządzać zgodnością. Zapewnienie jakości danych jest dużo łatwiejsze w przypadku jednej bazy administrowanej przez dostawcę obsługującego wiele podmiotów z branży aniżeli w modelu rozproszonym, gdzie każdy z banków korzysta z innego outsoucera – szacuje ekspert.
Wysoki poziom świadczonych usług nie będzie jedyną korzyścią, jaką uzyskają klienci w wyniku konsolidacji dostawców rozwiązań chmurowych i centralizacji baz danych. Skupienie zasobów w jednych rękach sprzyjać będzie bowiem wymianie danych, co w dobie big data jest równoznaczne z lepszą wiedzą o odbiorcach usług finansowych. – Mogą się skończyć problemy w rodzaju nietrafionych kampanii marketingowych, za które w znaczącym stopniu odpowiadają niekompletne bądź nieaktualne informacje na temat klientów. Konsekwencją będzie zarówno lepszy poziom świadczenia usług dla aktualnych klientów banków, jak też większa skuteczność przekazu reklamowego – stwierdził Maciej Gawroński.
Niespodziewane wsparcie w batalii z fintechami
RODO może stanowić też czynnik ograniczający niekontrolowaną konkurencję dla sektora bankowego ze strony fintechów, instytucji pożyczkowych czy podmiotów funkcjonujących w branży shadow banking. Należy bowiem pamiętać, iż zakaz ograniczenia odpowiedzialności outsourcera znajduje zastosowanie jedynie wobec podmiotów tradycyjnego sektora finansowego (jak banki czy fundusze inwestycyjne) oraz ich dostawców. Podmioty funkcjonujące na rynku nieregulowanym lub choćby regulowanym w mniejszym stopniu, jak instytucje pożyczkowe, mogą zatem ograniczać koszty poprzez dobór tańszych dostawców IT, również tych zajmujących się przetwarzaniem danych osobowych. Rywalizacja banków z takimi podmiotami jest o tyle trudniejsza, że najtańsi dostawcy usług finansowych z reguły adresują swą ofertę do osób najuboższych, dla których cena stanowi główne, a niekiedy jedyne kryterium doboru kontrahenta. Tymczasem konsekwencje wycieku danych z firmy chwilówkowej mogą generować negatywne konsekwencje wizerunkowe również dla sektora bankowego.
Potwierdza to wiceprezes Związku Banków Polskich mec. Jerzy Bańka, który nierzadko otrzymywał skargi klientów na funkcjonowanie instytucji pożyczkowych czy innych placówek niebędących bankami. – Możemy oczywiście ubolewać nad niskim poziomem świadomości obywateli odnośnie funkcjonowania rynku finansowego, jednak takie podejście jest charakterystyczne dla większości współczesnych społeczeństw na całym świecie – podkreślił w wywiadzie dla majowego numeru „Miesięcznika Finansowego BANK”.
Implementacja ogólnego rozporządzenia o ochronie danych kładzie tymczasem kres tego rodzaju oszczędnościom, zarówno po stronie samych instytucji finansowych, jak też outsourcerów. W tym drugim przypadku kluczowe znaczenie ma klauzula transferu obowiązków przy powierzeniu przetwarzania danych. – Dzięki wprowadzeniu tego przepisu zmniejsza się w istotny sposób ryzyko zawierzenia dostawcy usług IT, który będzie korzystać z usług niesolidnych podwykonawców – zaznaczył Maciej Gawroński, który jako ekspert Grupy Roboczej Artykułu 29 był pomysłodawcą i współautorem wspomnianego rozwiązania.
Na wdrożeniu RODO banki mogą zatem skorzystać zarówno finansowo, poprzez eliminację najtańszej i najbardziej nieodpowiedzialnej konkurencji z sektora nieregulowanego, jak również wizerunkowo. – Jednak aby tak było, należy wcześniej samemu wdrożyć RODO w banku – w sposób usystematyzowany i udokumentowany, najlepiej z wykorzystaniem gotowej metodyki i wzorców produktów wdrożenia i możliwie z wykorzystaniem systemu do rozliczania i zarządzania zgodnością i cyberbezpieczeństwem – dodał ekspert.
(współpraca SBW)