Komunikat UKNF dotyczący przetwarzania informacji w chmurze obliczeniowej

Artykuł

Komunikat UKNF dotyczący przetwarzania informacji w chmurze obliczeniowej

Biuletyn prawny: Finanse i bankowość | marzec 2020 r.

W dniu 23 stycznia 2020 r. Urząd Komisji Nadzoru Finansowego wydał Komunikat, dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Stanowi on podejście krajowe dla podmiotów z sektora finansowego (model referencyjny). Komunikat kierowany jest nie tylko do banków, ale także do ubezpieczycieli, instytucji płatniczych, czy firm inwestycyjnych.

Wskazane w nim wymogi znajdą zastosowanie, jeżeli:

  1. przetwarzane są informacje prawnie chronione (tj. informacje stanowiące tajemnicę zawodową sektora finansowego (bankową, ubezpieczeniową, itd.)) lub przetwarzanie informacji ma charakter outsourcingu szczególnego chmury (tj. m.in. outsourcingu czynności lub funkcji podmiotu nadzorowanego, których brak lub przerwa w realizacji zagrażałyby w sposób istotny wynikom finansowym tego podmiotu, niezawodności lub ciągłości wykonywania działalności nadzorowanej); oraz jeśli
  2. przetwarzanie informacji jest realizowane w chmurze obliczeniowej publicznej lub hybrydowej (w zakresie jej części opartej o chmurę obliczeniową publiczną).

Komunikat nie dotyczy przetwarzania w chmurze obliczeniowej prywatnej.

Warto podkreślić, iż Komunikat dopuszcza istnienie łańcucha outsourcingowego, pozwalając na korzystanie z usług podwykonawców pod określonymi warunkami. Wskazuje on wymogi, jakie powinna spełniać umowa z dostawcą usług chmury obliczeniowej, również w zakresie poddostawców (w szczególności – w umowie należy wskazać nazwę, lokalizację, zakres czynności poddostawcy oraz warunki nadawania praw dostępu do informacji przetwarzanych przez podmiot nadzorowany).

Komunikat zawiera szczegółowe wytyczne w zakresie aspektów, jakie powinny być wzięte pod uwagę w procesie szacowania ryzyka.

The future is cloudy

Dlaczego chmura?

Dowiedz się więcej

W związku z kompleksowymi regulacjami, zapewniającymi ochronę danych osobowych (RODO) i nieosobowych (Rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej z dnia 14 listopada 2018 r.) na terenie Europejskiego Obszaru Gospodarczego – UKNF rekomenduje przetwarzanie informacji w centrach przetwarzania danych zlokalizowanych na terenie państw należących do EOG. Decydując się na korzystanie z chmury należy również wziąć pod uwagę regulacje dotyczące danych osobowych, w tym w szczególności obowiązki związane ze współpracą administratora z procesorem oraz wymagania z zakresu transferu danych osobowych do państw trzecich.
 

- mówi Julia Rojewska, Senior Associate, Aplikantka adwokacka w Deloitte Legal

Komunikat na pewno stanowi znaczący krok w stronę umożliwienia faktycznego wykorzystania chmury obliczeniowej przez podmioty nadzorowane. W ostatnich miesiącach obserwujemy wzmożone zainteresowanie tematem chmury na rynku. Czy i jak przełoży się to na praktykę – czas pokaże.

Czy ta strona była pomocna?