Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
7 kwietnia Komisja Nadzoru Finansowego wydała kolejną, czwartą już serię pytań i odpowiedzi dotyczących Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej.
Tym razem, w ramach prawie 20 nowych odpowiedzi, nadzór udzielił objaśnień dotyczących takich obszarów jak współpraca zakładów ubezpieczeń z agentami, relacja Komunikatu do wytycznych Europejskich Organów Nadzoru, status prawny Komunikatu UKNF. Uszczegółowione zostały również (niezwykle istotne) zagadnienia dotyczące szyfrowania i zarządzania kluczami szyfrującymi. Poniżej przedstawiamy krótkie omówienie wybranych odpowiedzi.
Pierwsze z nowo dodanych pytań (nr 56) dotyczy relacji agentów korzystających z usług chmury obliczeniowej i zakładów ubezpieczeń, z którymi agenci współpracują. Zagadnienie to ma niezwykle istotne znaczenie praktyczne z uwagi na dużą liczbę agentów działających na polskim rynku oraz rosnącą popularność wykorzystania rozwiązań chmurowych wśród tych podmiotów. Zgodnie z danymi zawartymi w raporcie PIU [1] w 2018/19 r. na polskim rynku działało 14,1 tyś. agentów wyłącznych oraz 17,4 tyś. multiagentów. Pytanie dotyczy możliwości skorzystania przez zakłady ubezpieczeń z formularzy do samooceny wysyłanych do agentów, w procesie weryfikacji zgodności ich działania z wytycznymi Komunikatu.
Na wstępie należy zaznaczyć, że KNF wyraźnie wskazał, w odniesieniu do współpracy na linii agent – zakład ubezpieczeń, że to na zakładzie ciąży obowiązek przeprowadzania weryfikacji przestrzegania przez agentów i multiagentów wymogów Komunikatu, a wymogi jakościowe i raportowe oraz uprawnienia kontrolne zakładu powinny zostać określone w umowie agencyjnej. Jednocześnie – zakład ubezpieczeń powinien opracować wewnętrzne procedury dotyczące metod kontroli jakości współpracy z agentem i zgodności z obowiązującymi przepisami prawa, umowami oraz wytycznymi, w tym w zakresie przetwarzania przez agentów informacji w chmurze.
Nadzór wskazuje przy tym, że formularze oraz ankiety mogą zostać wykorzystane jako narzędzie do oceny zgodności działania agentów z wytycznymi Komunikatu UKNF, jednak informacje zebrane poprzez formularz/ankietę powinny zostać zweryfikowane przez zakład ubezpieczeń. Zakład określa zakres, sposób i częstotliwość kontroli poprawności danych przy uwzględnieniu przyjętych w zakładzie mechanizmów zarządzania i oceny ryzyka oraz postanowień umów z agentami.
Uznanie przez KNF takiej metody weryfikacji działań agentów stanowi dla zakładów istotną informację pod kątem organizacji pracy. Zakłady powinny opracować standard formularzy/ankiet dla agentów oraz odpowiednie procedury wewnętrzne i wykorzystywać je w ramach organizowania procesów chmurowych u swoich agentów. Rozwiązanie takie pozwoli uniknąć pozostawienia żmudnego i skomplikowanego organizacyjnie procesu wdrożenia licznym agentom, nieposiadającym często odpowiedniej wiedzy, kompetencji i możliwości poprawnego wdrożenia chmury od strony regulacyjnej.
Charakter prawny Komunikatu UKNF już od samego jego wydania był obiektem dyskusji. Złożoność tego zagadnienia wynika w dużej mierze z przyjęcia przez nadzorcę formy „komunikatu”, podczas gdy wśród wiążących form działalności Komisji znajdują się uchwały, decyzje oraz postanowienia, a także dedykowane sektorowi bankowemu rekomendacje. Jednocześnie przyjmuje się, że publikacja komunikatów stanowi środek realizacji zadań KNF określonych w ustawie o nadzorze nad rynkiem finansowym, nie przesądza to jednak o ich charakterze. Podstawą dla rynkowych rozważań było także przypisanie Komunikatu Urzędowi KNF, a nie samej Komisji, która to jest wskazana jako organ sprawujący nadzór w ustawie o nadzorze nad rynkiem finansowym. W związku z tymi wątpliwościami Komunikat przyjmowany był do tej pory na rynku jako źródło rekomendowanych rozwiązań w związku z wdrażaniem chmury obliczeniowej, jego wiążący charakter był jednak kwestionowany.
W odpowiedzi na pytanie 59 KNF potwierdził te założenia, wskazując wprost, że Komunikat UKNF nie stanowi źródła prawa, a jedynie zbiór wytycznych. Jednocześnie nadzorca wskazał, że celem Komunikatu jest ustanowienie jednolitego standardu we wszystkich sektorach rynku finansowego. Wydaje się, że nadzorca chciał w ten sposób podkreślić, że mimo braku prawnie wiążącego charakteru, Komunikat jest benchmarkiem rynkowym w zakresie wdrożeń chmurowych i wytycza minimalne wymagania mające zapewnić bezpieczeństwo korzystania z rozwiązań cloud w sektorze finansowym. Stosowanie Komunikatu, choć nie jest obowiązkiem, powinno być w związku z tym dobrą praktyką. Wydaje się również, że praktyczne znaczenie konieczności realizacji wymogów UKNF w odniesieniu do chmury nie budzi większych wątpliwości wśród podmiotów sektora finansowego.
Co istotne KNF potwierdził także, że Komunikat nie może być podstawą do nałożenia na podmiot nadzorowany dodatkowych obowiązków niż te przewidziane przepisami prawa powszechnie obowiązującego. Sam Komunikat wielokrotnie odnosi się jednak do regulacji ustawowych i w szczególności wskazuje, że podmiot nadzorowany zarządzając zidentyfikowanym ryzykiem związanym z rozwiązaniem chmurowym powinien uwzględniać między innymi przepisy prawa.
W związku z tym wydaje się, że choć Komunikat sam w sobie nie jest źródłem prawa, niestosowanie się do niego może wiązać się z ryzykiem nałożenia kary przez Urząd, przy czym jako jego źródło ze wskazanych wyżej powodów nie będzie powoływany Komunikat, a konkretne przepisy właściwych ustaw, których analiza i stosowanie jest co do zasady elementem stosowania Komunikatu przy wdrożeniu. Komunikat wielokrotnie odsyła podmiot nadzorowany do przepisów prawa np. w zakresie zasad odpowiedzialności, czy też, w sposób bardziej ogólny, wskazując obowiązek uwzględnienia przepisów prawa w procesach klasyfikacji i oceny informacji oraz szacowania ryzyka i postępowania z nim.
W ramach odpowiedzi na pytanie 60 KNF potwierdził wynikające z Komunikatu wyłączenie stosowania wytycznych EBA, EIOPA oraz ESMA odnoszących się do przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej. Komunikat stanowi podejście krajowe w tym zakresie, przy czym nadzorca zauważa, że podejście zaprezentowane w Komunikacie jest w dużej mierze zbieżne z tymi proponowanymi w wytycznych EBA, ESMA i EIOPA.
Warto zwrócić uwagę, że sposób sformułowania wyłączenia w pkt II.6.3 Komunikatu sugeruje nie tylko wyłączenie aktualnie obowiązujących wytycznych Europejskich Organów Nadzoru, ale także tych, które mogą zostać przez nie wydane w przyszłości.
Wydaje się, że chcąc zachować wyższy standard ostrożności, podmiot nadzorowany może przyjąć stosowanie wymogów EBA, ESMA lub EIOPA w zakresie w jakim przewidują one wymogi surowsze niż podejście krajowe. Nie powinno to zostać potraktowane jako działanie niezgodne z wytyczną Komunikatu, ponieważ podmiot nadzorowany będzie spełniał wymogi polskiego nadzorcy, a stosując dodatkowo surowsze wymagania nadzorców europejskich będzie działał w zakresie swobody działalności gospodarczej.
Do zagadnienia stosowania podwójnych standardów odniósł się także KNF w ramach odpowiedzi na pytanie 61, przytaczając przykład podmiotu z siedzibą poza Rzeczpospolitą Polską a prowadzącego działalność w RP w formie oddziału. W takiej sytuacji, oddział tego podmiotu będzie objęty Komunikatem UKNF, natomiast sam podmiot może podlegać wytycznym EBA, EIOPA lub ESMA (chyba, że co innego wskazują regulacje kraju siedziby). Informacja ta może mieć kluczowe znaczenie dla podmiotów finansowych działających w ramach międzynarodowych grup kapitałowych.
W ramach jednego z pytań poruszona została kwestia poddania umowy z dostawcą chmurowym prawu państwa trzeciego oraz związanego z tym obowiązku wykazania, że prawo to umożliwia skuteczne wykonywanie postanowień umowy, wszystkich wymogów polskiego prawa ciążących na podmiocie nadzorowanym oraz wytycznych organu nadzoru, w tym Komunikatu. Pytanie w szczególności dotyczy tego, co powinna uwzględniać opinia prawa w tym zakresie.
Nadzorca w ramach odpowiedzi wskazał, że analiza w zakresie prawa trzeciego powinna zostać dokonana przed zawarciem umowy, a jej wyniki powinny zawierać jednoznaczną ocenę sytuacji. Co istotne, nadzorca wyróżnia dwa obowiązki w tym zakresie. Pierwszy dotyczy przeprowadzenia analizy w zakresie prawa państwa trzeciego, która powinna zostać utrwalona w formie dowolnej. Drugi, bardziej skonkretyzowany, wynika z pkt VI.2.8a Komunikatu i polega na potwierdzeniu, że prawo państwa trzeciego umożliwia skuteczne wykonywanie postanowień umowy, wszystkich wymogów polskiego prawa ciążących na podmiocie nadzorowanym oraz wytycznych organu nadzoru, w tym Komunikatu, co powinno zostać utrwalone w formie opinii prawnej.
Pytanie 63 odnosi się do sytuacji, w której podmiot nadzorowany korzysta z oprogramowania dostarczanego w modelu SaaS przez dostawcę, z którym podmiot nadzorowany posiada bezpośrednią umowę outsourcingową, a jednocześnie rozwiązanie to zbudowane jest na platformie dostarczanej przez innego dostawcę. Tego rodzaju sytuacja – tj. wykorzystania przez podmiot nadzorowany tzw. chmury warstwowej – w praktyce występuje niezwykle często w przypadku wykorzystania złożonych rozwiązań chmurowych przez podmioty nadzorowane. Nie jest ona jednak wprost uregulowana w ramach Komunikatu.
Nadzorca został poproszony o wskazanie, który z podmiotów (dostawca rozwiązania SaaS, czy dostawca platformy) będzie w tym wypadku dla podmiotu nadzorowanego dostawcą chmurowym w rozumieniu Komunikatu UKNF.
Odpowiedź KNF potwierdza słuszność przyjętej do tej pory praktyki – nadzorca wskazał, że w tym wypadku mamy do czynienia z łańcuchem outsourcingowym, w którym dostawca platformy jest dostawcą usług chmury obliczeniowej w rozumieniu definicji z pkt I.8 Komunikatu.
Rozstrzygnięcie nadzorcy poprzez wskazanie dostawcy platformy jako dostawcy chmurowego znajdzie istotne zastosowanie w przypadku między innymi składania notyfikacji. Natomiast w zakresie weryfikacji spełniania określonych w Komunikacie wymogów przez dostawcę należy rozpatrywać to zagadnienie w zależności od charakteru danego wymogu. Co do zasady wymogi o odnoszące się do infrastruktury informatycznej w większym stopniu dotyczyć będą dostawcy platformy, natomiast wymogi dotyczące dostarczanego oprogramowania, czy też elementów relacji między stronami umowy, np. zasady wypowiedzenia powinny być rozpatrywane w stosunku do bezpośredniego dostawcy rozwiązania. Również szacowanie ryzyka przeprowadzane przez podmiot nadzorowany powinno obejmować obu dostawców.
Przedstawiony w pytaniu problem ma istotne znaczenie praktyczne i stanowi duże wyzwanie dla podmiotów nadzorowanych w związku z koniecznością zapewnienia przez podmiot nadzorowany zgodności z Komunikatem zarówno bezpośredniego dostawcy podmiotu, jak i dostawcy platformy dla wykorzystywanego rozwiązania [2]. Wykorzystanie chmury warstwowej i zapewnienie jej zgodności stanowi także wyzwanie z uwagi na brak bezpośredniej relacji kontraktowej na linii podmiot nadzorowany – dostawca platformy. Wiąże się to również z wyzwaniami organizacyjnymi dotyczącymi np. uprawnień kontrolnych wobec dostawcy platformy, które umożliwiałyby weryfikację utrzymywania zgodności z określonymi wymogami.
W pytaniu 64 poruszona została kwestia kwalifikowania poddostawcy niemającego możliwości zapoznania się z informacją prawnie chronioną jako poddostawcy w rozumieniu Komunikatu i tym samym uwzględnienia go w łańcuchu outsourcingowym.
Odpowiedź nadzorcy jest dość zwięzła i potwierdza stosowaną do tej pory praktykę rynkową. KNF odwołał się do definicji poddostawcy zawartej w pkt I.1.17 Komunikatu, z której wynika, że poddostawcą jest podmiot posiadający lub mogący posiadać identyfikowany dostęp do informacji przetwarzanych przez podmiot nadzorowany. W związku z tym nadzorca potwierdził, że wykluczenie możliwości uzyskania dostępu do informacji oznacza, że dany podmiot nie będzie poddostawcą w rozumieniu Komunikatu i tym samym nie będzie stanowił elementu łańcucha outsourcingowego.
Jest to szczególnie istotne w przypadku Prawa bankowego oraz UOIF, ponieważ obie te ustawy ograniczają dopuszczalną długość łańcucha outsourcingowego i możliwość wykluczenia z niego podmiotów nieposiadających identyfikowanego dostępu do danych wiąże się ze znacznym ułatwieniem zapewnienia zgodności regulacyjnej w tym zakresie.
Przedstawione przez KNF stanowiska w istotnej części potwierdzają stosowaną dotychczas praktykę rynkową. Jednocześnie uzupełnienie sekcji Q&A o prawie 20 nowych pytań i odpowiedzi świadczy o złożoności zagadnień z jakimi wiążą się wdrożenia chmurowe. Udzielane przez nadzorcę odpowiedzi wraz z kolejnymi aktualizacjami Q&A w mniejszym stopniu dotyczą rozumienia samych wytycznych Komunikatu, a coraz częściej odnoszą się do rozwiązań złożonych problemów identyfikowanych w praktyce.
1/ „Ubezpieczenia w liczbach 2020, Rynek ubezpieczeń w Polsce”, Polska Izba Ubezpieczeń, https://piu.org.pl/wp-content/uploads/2021/06/Ubezpieczenia-w-liczbach-2020.pdf.
2/ Takie stanowisko KNF zaprezentował w ramach odpowiedzi na pytanie 5 w sekcji Q&A.