Umowa z dostawcą chmury obliczeniowej

Artykuł

Umowa z dostawcą chmury obliczeniowej

Wybrane aspekty transgraniczne

Biuletyn prawny: Finanse i Bankowość | Lipiec 2020 r.

Komunikat KNF z dnia 23 stycznia 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej spowodował, iż coraz więcej podmiotów z sektora bankowego czy ubezpieczeniowego – zainteresowanych jest wdrożeniem w organizacji rozwiązań chmurowych. Tym, na co chcielibyśmy zwrócić uwagę, jest element „transgraniczny”.

Zgodnie z treścią Komunikatu – nadzór rekomenduje, aby centrum przetwarzania danych zlokalizowane było na terytorium państwa Europejskiego Obszaru Gospodarczego (EOG). Punkt ten stosuje się z zastrzeżeniem, że podmioty nadzorowane, które:

a) zostały uznane stosowną decyzją za operatorów usług kluczowych w rozumieniu art. 5 ust. 2 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa i którzy wykorzystują usługę chmury obliczeniowej w zakresie realizacji usługi kluczowej lub

b) są operatorami infrastruktury krytycznej w rozumieniu ustawy z 26 kwietnia 2007 r. o zarządzaniu kryzysowym i którzy wykorzystują usługę chmury obliczeniowej w zakresie realizacji zadań operowania infrastrukturą krytyczną,

powinny w pierwszej kolejności wykorzystywać CPD znajdujące się na terenie Rzeczypospolitej Polskiej, o ile – w ocenie podmiotu nadzorowanego – oferowane warunki umowne, ekonomiczne, operacyjne, SLA czy funkcjonalne są nie gorsze od CPD znajdujących się poza terytorium Rzeczypospolitej Polskiej.

Komunikat stanowi także, że prawem właściwym dla umowy pomiędzy dostawcą rozwiązań chmurowych a podmiotem nadzorowanym - powinno być prawo polskie lub prawo innego państwa członkowskiego Unii Europejskiej, chyba że strony umowy poddadzą umowę prawu państwa trzeciego, a prawo państwa trzeciego pozwala na skuteczne wykonywanie:

  • postanowień umowy; 
  • wszystkich wymogów prawa polskiego ciążących na podmiocie nadzorowanym; 
  • wytycznych organu nadzoru, w tym również w zakresie komunikatu.

W przypadku poddania umowy prawu państwa trzeciego podmiot nadzorowany powinien posiadać pisemną opinię prawną potwierdzającą, że zgodnie z wybranym prawem właściwym umowy, wszystkie postanowienia umowy pomiędzy podmiotem nadzorowanym a dostawcą usług chmury obliczeniowej spełniają wymagania prawa obowiązujące podmiot nadzorowany oraz wymagania komunikatu.

Ponadto, w sytuacji korzystania z rozwiązań dostarczanych przez dostawców usług chmurowych – w przypadku przekazywania danych osobowych do państw trzecich – należy zapewnić zgodność nie tylko z treścią art. 28 RODO, ale również z postanowieniami Rozdziału V RODO.

W tym miejscu warto też wspomnieć o przepisach prawa bankowego, wymagających zgody KNF na outsourcing zagraniczny – zgodnie z którymi zawarcie umowy, o której mowa w art. 6a ust. 1 lub 7 prawa bankowego, z przedsiębiorcą zagranicznym niemającym miejsca stałego zamieszkania lub nieposiadającym siedziby na terytorium państwa członkowskiego lub umowy przewidującej, że powierzone czynności będą wykonywane poza terytorium państwa członkowskiego, wymaga zezwolenia Komisji Nadzoru Finansowego udzielonego na wniosek banku.

Biorąc powyższe pod uwagę, sugerujemy zwrócić uwagę na wszelkie aspekty transgraniczne przy korzystaniu z usług dostawców chmury. Między innymi na korzystanie przez dostawców usług chmurowych z poddostawców i na zakres ich usług, tak, aby oczekiwania organu nadzoru wyrażone w treści Komunikatu zostały spełnione. W szczególności, możliwe jest zagwarantowanie sobie w umowie z dostawcą określonego terytorium, na którym może zostać zlokalizowane CPD.

Czy ta strona była pomocna?