Komisja Nadzoru Finansowego w dniu 23 stycznia 2020 r. wydała komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.
Podmioty nadzorowane przez Komisję zobowiązane są do wdrożenia środków i rozwiązań szczegółowo opisanych w ww. komunikacie Komisji. Wytyczne KNF dotyczą przetwarzania danych w chmurze publicznej i hybrydowej, obowiązek ich wdrożenia nie dotyczy chmury prywatnej. Pierwotny termin na wdrożenie komunikatu, tj. 31 sierpnia 2020 r., na skutek epidemii COVID został przesunięty na 1 listopada 2020 r.
Niezależnie od innych obowiązków wynikających z komunikatu, pomioty nadzorowane, w przypadkach outsourcingu szczególnego chmury obliczeniowej lub przetwarzania w chmurze informacji prawnie chronionej tj. informacji związanej z tajemnicami sektora finansowego wymienionymi m. in. w ustawie 29 sierpnia 1997 r. Prawo bankowe, ustawie z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej oraz ustawie z 15 grudnia 2017 r. o dystrybucji ubezpieczeń, mają obowiązek poinformowania o tym fakcie Komisji. Dotyczyć to może również korzystania jedynie z pakietu Microsoft 365 (dawniej Office 365).
A więc do 1 listopada 2020 r. każdy podmiot nadzorowany jest zobowiązany zawiadomić Komisję o:
- rodzaju i zakresie informacji planowanych do przetwarzania / przetwarzanych w chmurze obliczeniowej;
- nazwie dostawcy usług chmury obliczeniowej oraz rodzaju planowanych do używania / używanych usług chmury obliczeniowej;
- dacie podpisania umowy z dostawcą usług chmury obliczeniowej oraz terminach jej obowiązywania, a w przypadku gdy umowa nie jest jeszcze zawarta – przewidywaną datę jej zawarcia;
- lokalizacji (kraj, region albo inne równoważne) centrum przetwarzania danych (CPD) świadczącym usługę chmury obliczeniowej;
- spełnieniu wymagań opisanych w niniejszym komunikacie;
- osobach lub stanowiskach do kontaktu w sprawie stosowania chmury obliczeniowej w podmiocie nadzorowanym.
Każde zawiadomienie musi być poprzedzone szczegółową analizą zgodności stosowanych rozwiązań z komunikatem. Zgodność ta jest potwierdzona przez podmiot nadzorowany w samym zawiadomieniu.
Zawiadomienie powinno zostać podpisane przez uprawnionego przedstawiciela podmiotu nadzorowanego oraz dostarczone do Urzędu Komisji Nadzoru Finansowego przy wykorzystaniu formularza stanowiącego załącznik nr 1 do komunikatu Komisji.
A więc dzień 1 listopada 2020 r. jest ostatnim dniem, w którym każdy podmiot nadzorowany powinien zawiadomić Komisję o wystąpieniu outsourcingu szczególnego lub przetwarzaniu informacji prawnie chronionej w chmurze obliczeniowej. Wprawdzie 1 listopada 2020 r. przypada na dzień wolny od pracy, a więc zgodnie z kodeksem postępowania administracyjnego faktycznie termin upływa w dniu 2 listopada 2020 r., niemniej jednak rekomendujemy niezwlekanie ze złożeniem zawiadomienia do ostatniej chwili.
Jeżeli potrzebujecie Państwo wparcia w procesie wdrożenia chmury obliczeniowej lub też zrealizowania obowiązków notyfikacyjnych względem KNF w powyższym zakresie, proszę o kontakt na adres: m.pasztaleniec@cztr.pl.
