Wydane właśnie stanowisko nadzoru w sprawie usług chmurowych miało zapewnić przejrzyste reguły korzystania z tego rozwiązania. Cel ten osiągnięto tylko częściowo
Sama publikacja stanowiska zaskoczeniem nie jest, bo jego przedstawienie było już od pewnego czasu zapowiadane przez Komisję Nadzoru Finansowego w toku prac Zespołu roboczego ds. rozwoju innowacji finansowych. Sam fakt, że to nastąpiło, można postrzegać jako optymistyczny sygnał świadczący co najmniej o tym, że nadzór nie jest przeciwny usługom chmurowym. Natomiast mieszane uczucia budzą wymagania, które postawiono przed podmiotami chcącymi takie usługi świadczyć.
Po pierwsze, KNF uważa, że cloud computing jest powierzeniem wykonywania czynności podmiotowi zewnętrznemu i podlega przepisom o outsourcingu w działalności poszczególnych instytucji nadzorowanych, np. banków czy zakładów ubezpieczeń. Pojawia się zatem pytanie, czy już fakt świadczenia usługi w chmurze jest decydujący, aby uznać, że usługa stanowi outsourcing?
Naturalnie, nadzór samym komunikatem nie może zmieniać przepisów prawa. Mówiąc najprościej, jeżeli coś nie jest outsourcingiem w świetle np. prawa bankowego, to nie może stać się nim tylko dlatego, że usługa jest świadczona w chmurze. Czasami jednak umowy z podwykonawcami nie dają się łatwo sklasyfikować w świetle przepisów i istnieje pokusa, aby "ostrożnościowo" za czynnik decydujący uznać obecność (lub brak) chmury.
Tymczasem zakres czynności, których powierzenie wymaga dopełnienia szczególnych obowiązków regulacyjnych (tzw. outsourcing regulowany), różni się w poszczególnych sektorach. Instytucje nadzorowane powinny więc każdorazowo ocenić, na ile – niezależnie od formy świadczonej usługi – charakter powierzonych czynności uzasadnia np. nadanie umowie szczególnego kształtu lub zawiadomienie KNF o zamiarze jej zawarcia.
Po drugie, część instytucji ma wątpliwości, czy w ogóle musi wdrożyć oczekiwania zawarte w komunikacie. Urząd wyjaśnia, że komunikat jest uszczegółowieniem rekomendacji i wytycznych dotyczących zarządzania obszarami IT (tj. Rekomendacji D dla banków oraz jej odpowiedników dla innych sektorów), tymczasem nie wszystkie podmioty nadzorowane zostały objęte tymi rekomendacjami. Dotyczy to szczególnie instytucji płatniczych. O ile jednak brak rekomendacji skutkuje nieco większą "swobodą" dla podmiotów sektora płatniczego, o tyle stanowisko nie zawiera wyraźnego wyłączenia tego sektora spod oczekiwań nadzorcy. Możliwe, że KNF przyjmie bardziej elastyczne podejście w tym zakresie, ale biorąc pod uwagę jak bardzo delikatny bywa temat nowych technologii w kontekście funkcjonowania rynku finansowego, raczej zalecałbym ostrożność.
Po trzecie, zwraca uwagę obszerność i szczegółowość oczekiwań KNF w stosunku do korzystania z chmury. Wprawdzie dokument jest krótszy od większości (choć nie wszystkich) rekomendacji i wytycznych wydanych dotychczas przez nadzór, ale stanowisko dotyczy wyłącznie jednego, bardzo szczegółowego zagadnienia. I tu zaczynają się schody.
Dostawcy usług chmurowych niemal zawsze stosują ustandaryzowane wzorce umów i chociaż mają pewną niezależność co do możliwości ich dostosowania do konkretnych klientów (zwłaszcza tych większych, jak instytucje finansowe), to trudno oczekiwać od nich aż tak daleko idącego dostosowania modelu biznesowego usługi. A często właśnie korzystanie z tych dostawców, którzy są mniej skłonni do negocjacji, daje jednocześnie wyższe gwarancje zabezpieczenia interesów instytucji finansowej, a w rezultacie – końcowego odbiorcy usługi.
Szereg precyzyjnych oczekiwań KNF (jak np. dokładne wskazanie norm, których stosowania oczekuje nadzór) może tworzyć trudności negocjacyjne, nieproporcjonalne w danym kontekście biznesowym. Nadal bowiem większość podmiotów nadzorowanych korzysta z własnej infrastruktury IT, a chmurą posługuje się jedynie do czynności pomocniczych.
W tym kontekście z pewnością cieszy podjęcie przez nadzór kolejnego tematu ważnego dla technologii finansowych. Nadal jednak warunki dla rozwoju cloud computingu w sektorze finansowym wyznaczać będzie praktyka nadzorcza i sposób egzekwowania oczekiwań nadzoru wobec konkretnych wdrożeń. Za wcześnie na ocenę, czy stanowisko jest dobrą prognozą, czy raczej zwiastuje rozwianie złudzeń co do zastosowania chmury w sektorze finansowym.
Warto jednak przypomnieć, że słowa te kreślę w przeddzień publikacji raportu końcowego z prac Zespołu roboczego ds. rozwoju innowacji finansowych. I to pewnie on wyznaczy długoterminową prognozę pogody dla wdrażania nowych technologii – nie tylko chmurowych – w sektorze finansowym.
---
Michał Mostowik, dLK Legal
Artykuł powstał przy współpracy z kancelarią dLK Legal
Autor jest prawnikiem w dLK Legal. Jest absolwentem i doktorantem Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Ukończył program "Certificate in American Law" na UC Berkeley (Boalt Law School) oraz Szkołę Prawa Niemieckiego organizowaną przez Uniwersytet Jagielloński we współpracy z uniwersytetami w Heidelbergu i Moguncji. Uczestniczył w koordynowanych przez KNF pracach Zespołu roboczego ds. rozwoju innowacji finansowych oraz w pracach strumienia "Blockchain i kryptowaluty" przy Ministerstwie Cyfryzacji w ramach programu "Od papierowej do cyfrowej Polski". Specjalizuje się i praktykuje w zakresie prawa bankowego, usług płatniczych, ochrony danych osobowych i prawa UE.