infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ubezpieczeniowym - najważniejsze problemy prawne"
1.
2. CLOUD COMPUTING W DZIAŁALNOŚCI
FINANSOWEJ I UBEZPIECZENIOWEJ – PROBLEMY
PRAWNE
Warszawa, 20 kwietnia 2016 r.
3. CLOUD COMPUTING - DEFINICJA
Grupa robocza C-SIG (Cloud Select Industry Group) w dokumencie Cloud SLA Standarisation z dnia 24 czerwca
2014
Model (paradygmat) umożliwiania sieciowego dostępu do skalowalnej i elastycznej puli współdzielonych
(możliwych do udostępniania) fizycznych lub wirtualnych zasobów (np. serwer, systemy operacyjne, sieci,
oprogramowanie, aplikacje, przechowywanie danych) z samoobsługową aprowizacją uprawnień oraz administracją
na żądanie.
Modele świadczenia usługi:
Ø SaaS – aplikacje dostępne przez przeglądarkę internetową i niezainstalowane lokalnie;
Ø PaaS – dostęp do platformy, która składa się na zintegrowany ze sobą interfejs i aplikacje;
Ø IaaS – dostęp do infrastruktury (serwery, pamięci masowe, sprzęt sieciowy) dostarczanej jako usługa;
Ø XaaS – inne.
4. ZALETY CC
Ø On-demand – możliwość uzyskania oczekiwanej mocy obliczeniowej na żądanie bez konieczności
inwestowania we własną infrastrukturę sprzętową;
Ø Redukcja kosztów – przy jednoczesnym dostarczaniu wymaganych rozwiązań informatycznych nie
trzeba inwestować w sprzęt informatyczny, unika się kosztów związanych z rozwojem własnej
infrastruktury IT;
Ø Niezależność od położenia źródeł danych – usługi przetwarzania w chmurze umożliwiają współdzielenie
zasobów informatycznych za pomocą różnych urządzeń, z wielu miejsc na świecie, np. z urządzeń
mobilnych;
Ø Mierzalność – usługobiorca ma możliwość określenia minimalnych oraz maksymalnych technicznych
wymagań co do przetwarzania w chmurze,
Ø Skalowalność – usługodawca może dostosowywać parametry techniczne usługi do bieżących potrzeb, tj.
zwiększyć lub zmniejszyć moc obliczeniową bez potrzeby inwestowania w sprzęt;
Ø Łatwiejsze utrzymanie – to usługodawca jest odpowiedzialny za infrastrukturę sprzętową, przy użyciu
której następuje świadczenie usług przetwarzania w chmurze i ponosi wszelkie koszty związane z jej
utrzymaniem.
5. OBAWY PRZED CC
Ø Prywatność danych
Ø Dostępność usług i danych
Ø Integralność danych
Ø Poufność danych firmowych oraz obowiązek zachowania tajemnicy zawodowej
Ø Możliwość wyparcia się wykonania czynności na danych
Ø Utrata kontroli nad usługami / danymi
Ø Brak odpowiedzialności dostawców usług
Ø Niespójności w uregulowaniach transgranicznych
Ø Niejasne uregulowania cenowe
Ø Niekontrolowany koszt (zależny od użycia)
Ø Koszty i trudności migracji do chmury
6. PRZECHOWYWANIE DANYCH OSOBOWYCH W CHMURZE – WĄTPLIWOŚCI
ü Dyrektywa 95/46/WE zostanie zastąpiona rozporządzeniem w sprawie ochrony osób fizycznych w
zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (tzw. RODO) –
zatwierdzone 14.04. przez PE (bezpośrednie stosowanie od 2018 roku);
ü wskazówki i rekomendacje grupy roboczej art. 29 (5/2012);
ü tzw. Memorandum Sopockie z 24.04.2012 roku (dokument roboczy w sprawie przetwarzania
danych osobowych w chmurze obliczeniowej- kwestie ochrony danych i prywatności);
Ø czy przechowywanie danych osobowych w chmurze spełnia wymogi bezpieczeństwa?
Ø czy administrator, który umieszcza dane w chmurze ma nad nimi realną kontrolę?
Ø czy hostingodawca również przetwarza dane osobowe, umieszczone w zbiorze przez
usługobiorcę - administratora?
7. CLOUD COMPUTING
Z perspektywy prawa: usługa świadczona drogą elektroniczną
„Wszystkie usługi, których wykonanie następuje przez wysyłanie i odbieranie danych za pomocą
systemów teleinformatycznych na indywidualne żądanie usługobiorcy (klienta), bez jednoczesnej
obecności stron, przy czym dane te muszą zostać transmitowane za pośrednictwem sieci publicznych.”
Problemy:
ü regulamin czy umowa (SLA/umowa o świadczenie usługi drogą elektroniczną);
ü umowy transgraniczne (wybór prawa i jurysdykcji (jaki sąd jest właściwy?);
ü farmy serwerów (wsparcie infrastrukturalne przez podwykonawców);
ü odpowiedzialność,
ü dane osobowe (powierzenie przetwarzania i zgoda na podpowierzenie);
ü prawa autorskie;
ü certyfikacje;
ü klauzule wyjścia (zwrot danych, usunięcie, okres przejściowy)
8. OBOWIĄZKI USŁUGODAWCY
KC + UŚUDE + UODO
ü konieczność opracowania umowy lub regulaminu, który będzie regulował kompleksowo relacje z
usługobiorcą oraz uwzględni interesy usługodawcy (art. 8 UŚUDE)
ü szczególne regulacje, kiedy druga strona jest konsumentem;
ü problem odpowiedzialności wobec usługobiorcy oraz osób trzecich (jakie roszczenia mogą mieć moi
klienci oraz jakie skutki wynikają z prawa – analiza potrzeb);
ü umowa (service level agreement) – definicja usługi, podanie podstawowych informacji o usługodawcy
oraz parametry usługi (dostępność, wydajność, poziom wsparcia dostawcy, bezpieczeństwo danych, ich
ochrona, środki naprawcze na wypadek przestoju);
ü zapewnienie działania systemu teleinformatycznego, w tym zabezpieczenie technikami
kryptograficznymi, identyfikacja stron usługi, potwierdzenie faktu złożenia oświadczenia woli;
ü CC polega na przetwarzaniu danych, a więc i przetwarzaniu danych osobowych;
9. CZY KONIECZNE JEST ZAWARCIE UMOWY?
Ø co do zasady nie ma takiego obowiązku – decyduje wola stron i chęć zapewnienia większego poziomu
bezpieczeństwa w stosunku do przechowywanych danych;
Ø świadczenie usługi - umowa starannego działania, wzajemna, konsensualna i odpłatna (o ile strony nie
postanowią inaczej);
Ø efektem zawarcia takiej umowy jest nałożenie na osobę trzecią takich obowiązków, jakie ciążą na
administratorze danych:
ü konieczność zabezpieczenia danych osobowych
ü przetwarzanie tylko w zakresie i zgodnie z celem przetwarzania wyznaczonym w umowie z
administratorem (art. 31 UODO)
ü obowiązek zabezpieczenia dotyczy danych osobowych a nie tylko zbioru danych
ü obowiązek sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru
wprowadzone oraz komu są one przekazywane
ü obowiązek spełnienia wymogów określonych w rozporządzeniu w sprawie dokumentacji i warunkach
technicznych
ü odpowiedzialność za przestrzeganie przepisów dotyczących zabezpieczenia danych
ü podleganie kontroli GIODO
10. Z PRAKTYKI…
Przykłady postanowień dot. CC
„11.NIEAUTORYZOWANY DOSTĘP DO DANYCH UŻYTKOWNIKA
I KORZYSTANIA Z USŁUG
11.1 Użytkownik odpowiada za dostęp do Usług i korzystanie z nich przez osoby, które
Użytkownik upoważnił do dostępu lub korzystania z Usług lub którym udostępnił dane
umożliwiające uwierzytelnienie w Chmurze i na Koncie Użytkownika, w tym za działania i
zaniechania takich osób, a także za swoje działania lub zaniechania w zakresie zabezpieczenia
dostępu do Usług, w tym do danych umożliwiających uwierzytelnienie.”
https://www.oktawave.com/pl/regulamin.html
11. Z PRAKTYKI CD.
Przykłady postanowień dot. CC c.d.
„19. ODPOWIEDZIALNOŚĆ ZA UTRATĘ DANYCH UŻYTKOWNIKA
19.1 Zważywszy, że z wyjątkiem Usługi Backupu (Usługa Bezpieczeństwa Danych) Danych
Użytkownika, przedmiotem żaden innej z Usług świadczonych Użytkownikowi nie jest tworzenie
kopii zapasowych Danych Użytkownika, a także, że Użytkownik zobowiązany jest samodzielnie
trzymać kopię zapasową Danych Użytkownika, odpowiedzialność za utratę Danych Użytkownika
ponosi Użytkownik.
19.2 Usługodawca nie ponosi odpowiedzialności za utratę Danych Użytkownika, chyba że
Użytkownik wykupił dostęp do Oktawave Cloud Storage lub Oktawave Volume Storage. W
takiej sytuacji odpowiedzialność Usługodawcy w związku z utratą Danych Użytkownika reguluje
Standardowa Umowa o Poziomie Usług.”
https://www.oktawave.com/pl/regulamin.html
12. KLAUZULE ABUZYWNE
Przykłady niedozwolonych postanowień umownych:
Ø „Open Finance S.A. nie odpowiada za działania osób trzecich obsługujących system informatyczny
serwisu, jak również za szkody powstałe w wyniku uszkodzenia sprzętu komputerowego użytkownika,
bądź jego zasobów danych, w trakcie lub w związku z korzystaniem z zasobów serwisu, w
szczególności na skutek przedostania się do systemu informatycznego użytkownika wirusów
komputerowych”
Ø "Web-Net nie ponosi żadnej odpowiedzialności: (…) z tytułu strat, jakie może ponieść Abonent na
skutek niewłaściwego działania Web-Net lub sieci Internet oraz urządzeń do niej przyłączonych a w
szczególności - za utratę danych lub zniszczenie oprogramowania”
Ø "Całkowita odpowiedzialność Dostawcy wobec użytkownika (dochodzona na podstawie
jakiegokolwiek tytułu prawnego) ograniczona jest do wysokości opłat faktycznie uiszczonych przez
użytkownika w związku ze skorzystaniem z Serwisu"
13. CC A UODO
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę
nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia, filmy, zarejestrowane głosy, tzw. dane
biometryczne (cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą służyć do
zidentyfikowania osoby.
Informacja staje się daną osobową, jeżeli można tę informację powiązać z konkretną osobą bez ponoszenia
nadmiernych kosztów;
Ø Adres IP?
Ø Adres e-mail? (kancelaria@ck-legal.pl vs agata.kowalska@ck-legal.pl)
Ø Cookies?
14. CO TO SĄ DANE WRAŻLIWE?
Dane wrażliwe to dane ujawniające:
ü pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne,
ü przynależność wyznaniową, partyjną lub związkową, jak również o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym
ü dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych
w postępowaniu sądowym lub administracyjnym
Dane wrażliwe są chronione w sposób szczególny i wiążą się z nimi obowiązki:
ü uzyskania pisemnej zgody na ich przetwarzanie;
ü dokonywania zgłoszenia zmiany tych danych przed ujawnieniem zmiany danych w zbiorze;
ü wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru tych danych (w przypadku pozostałych danych
zaświadczenie jest fakultatywne);
ü rejestracji zbioru nawet pomimo prowadzenia go wyłącznie w formie papierowej;
ü rozpoczęcia przetwarzania danych dopiero po ich zarejestrowaniu (a nie od razu po zgłoszeniu jak w
przypadku pozostałych danych).
15. ZASADY GROMADZENIA I PRZETWARZANIA DANYCH OSOBOWYCH
Zakres przetwarzania danych
Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a
zwłaszcza te, które wykonuje się w systemach informatycznych.
Zasady przetwarzania danych osobowych:
ü Legalność: przetwarzane zgodnie z prawem
ü Celowość: dane zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami
ü Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są
przetwarzane
ü Jakiego zakresu danych możemy żądać?
16. POWIERZENIE A UDOSTĘPNIENIE DANYCH OSBOWYCH
Prawo do powierzenia przetwarzania podmiotowi trzeciemu:
Ø Powierzenie a przekazanie (udostepnienie/sprzedaż) danych;
ü udostępnienie – osoba trzecia ma możliwość przetwarzania na własny użytek; staje się ADO (decyduje o celach i
środkach ich przetwarzania) - wyraźna zgoda klienta
ü powierzenie – procesor ma dostęp do danych zebranych przez ADO, aby zrealizować usługę (przetwarzanie na rzecz
ADO) – nie jest potrzebna dodatkowa zgoda klienta
Ø Obowiązek zawarcia pisemnej umowy o powierzenie przetwarzania danych (brak zastosowania formy pisemnej powoduje
jedynie skutki w zakresie postępowania dowodowego)
Ø Odpowiedzialność administratora danych za sposób ich przetwarzania;
Ø Odpowiedzialność umowna podmiotu przetwarzającego dane;
Ø Ograniczenia możliwości powierzenia przetwarzania danych podmiotowi zagranicznemu:
ü obowiązek zachowania standardów ochrony danych osobowych (art. 47 UODO)
ü zgoda GIODO zezwalająca na powierzenie przetwarzania danych osobowych do państw trzecich
17. UMOWA POWIERZENIA PRZETWARZANIA
Pyt.: Czy dostawca usług chmurowych jest tylko przetwarzającym czy ADO?
Odp.: Jeżeli tworzymy tylko kopie zapasowe materiałów z DO, jesteśmy jedynie przetwarzającym. W przypadku
SaaS, dostawca decyduje o sposobach i celach przetwarzania danych, a wiec jest ADO.
Postanowienia umowne:
Ø zakres przekazania i zarządzania danymi osobowymi;
Ø określenie miejsca przetwarzania tych danych (art. 48 UODO - tylko po uzyskaniu zgody GIODO);
Ø wynagrodzenie z tytułu świadczonej usługi (domniemanie odpłatności) lub postanowienie o braku
dodatkowych opłat;
Ø wskazanie:
Ø podmiotów, które będą miały dostęp do danych przetwarzanych w chmurze;
Ø jakie zabezpieczenia techniczne i fizyczne będą stosowane;
Ø procedury usuwania danych w przypadku rozwiązania umowy.
18. PRZECHOWYWANIE DANYCH OSBOWYCH W CHMURZE - WĄTPLIWOŚCI
Czy przechowywanie danych w osobowych w chmurze może być uznane za transfer danych do państwa
trzeciego?
Ø kwestia zależna od oceny, czy usługodawca przetwarza dane osobowe;
Ø państwo trzecie = państwo spoza EOG (swoboda przepływu danych w granicach UE i całego obszaru EOG);
Ø istotny jest kraj siedziby usługodawcy, który przechowuje dane osobowe na serwerze;
Ø państwo trzecie musi dać gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie
obowiązują na terytorium RP (UE)
Ø ADO muszą swoje działania opierać na jednej z przesłanek z rozdziału 7 UODO
19. PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH – ZMIANY PO
01.01.2015 R.
Ø Przed nowelizacją – obowiązek uzyskania każdorazowej zgody GIODO na przekazywanie danych do państwa
trzeciego, nawet przy zastosowaniu zatwierdzonych przez KE standardowych klauzul umownych
Ø Po nowelizacji –zastosowanie niezmodyfikowanych standardowych klauzul umownych (dostępnych w
internetowej bazie aktów prawnych UE) zwalnia od wymogu uzyskania zgody GIODO
• Obecnie trzy modele klauzul: dwa dla stosunków administrator-administrator oraz jeden dla
stosunków administrator-przetwarzający
Ø Także po nowelizacji - wiążące reguły korporacyjne (BCR) zatwierdzane przez GIODO
• GIODO przed zatwierdzeniem BCR może przeprowadzić konsultacje z właściwymi organami ochrony
danych osobowych państw, na których terytorium mają siedziby przedsiębiorcy należący do grupy
Ø W braku spełnienia ww. warunków – zgoda GIODO
20. PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH
Ø Państwa trzecie = państwo nienależące do EOG
Ø Uwaga – koniec Safe Harbor
Komisja Europejską w drodze decyzji stwierdziła, które kraje taki poziom zapewniają, m.in. Argentyna,
Australia, Izrael, Kanada, Szwajcaria, USA (safe harbor) ale
UWAGA: wyrok TSUE z 6.10.2015 roku ws. Schrems – nieważność decyzji KE! (C-362/14) w sprawie
adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani
przez USA
Ø Inne kraje – konieczność uzyskania zgody GIODO, który wyda ją po ocenie, jaki poziom bezpieczeństwa
jest zapewniony, z wyjątkami od 1.01.2015 r.
21. WYROK WELTIMMO I JEGO SKUTKI
Ø Wyrok Trybunału Sprawiedliwości z 1 października 2015 r. w sprawie C-230/14 Weltimmo s.r.o. przeciwko
Nemzeti Adatvédelmi és Információszabadság Hatóság
Ø Skutkiem tego wyroku jest potwierdzenie przez Trybunał, że:
ü Zarejestrowanie siedziby przedsiębiorstwa w danym państwie nie przesądza o braku zastosowania
prawa innego państwa, jeżeli tam jest faktycznie prowadzona działalność gospodarcza
ü Badane jest to, czy działalność jest prawdziwa i rzeczywista, w tym czy stosowane są stabilne
rozwiązania organizacyjne
ü Możliwe jest interweniowanie u „swojego” GIODO – niezależnie, czy ostatecznie naruszający
przedsiębiorca będzie podlegał prawu danego państwa
22. DANE OSOBOWE – KŁOPOTY FACEBOOKA
Ø ujawnienie akt tzw. afery podsłuchowej – przechowywanie danych na serwerach Facebooka
Ø skarga do GIODO
Ø powołanie się na wyrok ws. Google
Ø podejście aktualnej GIODO
23. BEZPIECZEŃSTWO PRZECHOWYWANIA DANYCH OSOBOWYCH W DATA
CENTER
„Dekalog Chmuroluba”
ü przygotowany przez GIODO dla administracji publicznej, lecz jest na tyle uniwersalny, że mogą
stosować go inne podmioty
ü mówi m.in. o:
ü obowiązkach informacyjnych w zakresie fizycznej lokalizacji serwerów, na których będą
przetwarzane dane;
ü obowiązku raportowania o wszystkich incydentach bezpieczeństwa danych,
ü stosowaniu jednolitych klauzul umownych i kontroli łańcucha podwykonawców,
ü pełnym dostępie do dokumentacji dotyczącej zasad bezpieczeństwa i stosowanych
zabezpieczeniach (środkach technicznych)
ü norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in
public clouds acting as PII processors
ü opracowana przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję
Elektrotechniczną (IEC)
ü celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych
przez globalnych dostawców usług w chmurze działających transgranicznie
24. BEZPIECZEŃSTWO DANYCH OSBOWYCH W DATA CENTER
ü norma ISO/IEC 27018:2014 – podstawowe założenia
ü zapewnienie użytkownikom kontroli nad przetwarzanymi danymi - możliwość dostępu, poprawiania i
usunięcia danych, a także przetwarzania ich zgodnie z instrukcjami i wskazanym celem
ü zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np.
podwykonawców
ü zapewnienie odpowiedniego szkolenia zespołowi który ma dostęp do danych
ü przetwarzanie informacji w celach marketingowych jest dopuszczalne wyłącznie po wyrażeniu
jednoznacznej zgody przez klienta, a korzystanie z usługi nie może być uzależnione od wyrażenia takiej zgody
ü obowiązek powiadomienia o każdym przypadku uzyskania dostępu do informacji przez nieuprawniony do
tego podmiot
ü wdrożenie norm jest dobrowolne - niemniej ułatwia wykazanie zachowania standardów bezpieczeństwa;
potwierdzane jest certyfikatem
25. PRZECHOWYWANIE DANYCH OSBOWYCH W CHMURZE - WĄTPLIWOŚCI
co na to GIODO?
Ø przechowywanie danych w chmurze jest dopuszczalne, ale:
Ø konieczność zapewnienia usługobiorcy realnej kontroli nad danymi przez usługodawcę oraz
gwarancji ich ochrony, zgodnie z przedstawionymi wcześniej uwagami
Ø GIODO postuluje zmiany perspektywy: uznanie, że to nie dany kraj spełnia standardy
bezpieczeństwa, a konkretny (np. certyfikowany) usługodawca – modelowe klauzule UE (SCC),
BCR (wiążące reguły korporacyjne) – wymagania KE (transfer danych wewnątrz grupy);
Ø stanowisko GIODO – ABC Bezpieczeństwa danych osobowych przetwarzanych przy użyciu
systemów informatycznych http://www.giodo.gov.pl/1520074/id_art/3910/j/pl/
26. TAJEMNICA BANKOWA
Ø Osoby obowiązane – banki, osoby w nich zatrudnione oraz osoby, za których pośrednictwem bank
wykonuje czynności bankowe
Ø Zakres - wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w
trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje (w tym
dane osobowe)
Ø Katalog zwolnień, w tym:
• gdy ze względu na istotę i charakter czynności bankowej bez ujawnienia tajemnicy nie jest
możliwe wykonanie umowy lub czynności związanych z umową
• gdy chodzi o windykację, informację BIK, procedury AML itd.
27. TAJEMNICA BANKOWA – C.D.
Ø Początek tajemnicy – rozpoczęcie negocjacji z bankiem;
Ø Obowiązuje także po wygaśnięciu umowy z bankiem oraz po przeniesieniu rachunku do innego banku (wtedy
dotyczy obu banków – do którego i z którego rachunek jest przenoszony)
Ø Zakończenie działalności banku lub zakończenie stosunku pracy z bankiem nie wpływa na trwanie tajemnicy
bankowej
Ø Osoba, której informacje dotyczą, może upoważnić na piśmie do przekazania określonych informacji
wskazanemu przez siebie podmiotowi
Ø Kontrowersje – orzeczenia SN dot. odpowiedzialności odszkodowawczej banku wobec wierzyciela, gdy nie
zajmie rachunku dłużnika ze względu na niepełne dane; Porozumienie OECD z 29.10.2014 r. o automatycznej
wymianie danych zagranicznych klientów banków
28. OUTSOURCING BANKOWY
Ø Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy (także zagranicznemu)
wykonywanie określonych czynności faktycznych związanych z działalnością bankową – w tym usług
informatycznych.
ü ustawowy reżim dotyczy czynności związanych z dostępem do danych objętych tajemnicą bankową, w
tym np. systemy obsługi bankowości internetowej, systemy służące do rejestracji operacji bankowych –
tzw. czynności krytyczne
ü ustawowy reżim nie obejmuje czynności dotyczących systemów informatycznych niewykorzystywanych
bezpośrednio do czynności działalności bankowej, nabywania sprzętu, nabywania i instalacji
oprogramowania, tworzenia, rozwoju i modyfikacji licencjonowanego oprogramowania, serwisu sprzętu
komputerowego czy standardowego oprogramowania operacyjnego/systemowego – tzw. czynności
niekrytyczne
29. WYMOGI FORMALNE POWIERZENIA DANYCH OBJĘTYCH TAJEMNICĄ
BANKOWĄ DO CHMURY
Ø bank i dostawca chmury muszą posiadać plany ciągłości działania (BCDR = business continuity +
disaster recovery) obejmujące przekazany proces/czynności
Ø bank musi przeprowadzić analizę wpływu przekazania na działalność banku pod kątem wpływu na:
ü zgodność z prawem;
ü ostrożne i stabilne zarządzanie bankiem;
ü skuteczność kontroli wewnętrznej;
ü możliwość audytu banku;
ü bezpieczeństwo informacji (ochronę tajemnicy) – przekazanie jest możliwe, jeśli analiza
wpływu nie wykaże negatywnych konsekwencji przekazania czynności na zewnątrz
30. WYMOGI FORMALNE POWIERZENIA DANYCH OBJĘTYCH TAJEMNICĄ
BANKOWĄ DO CHMURY – C.D.
Ø bank ujmuje ryzyko przekazania czynności w systemie zarządzania ryzykiem
Ø bank prowadzi ewidencję umów o powierzeniu czynności na zewnątrz; nadto jeśli dostawca usług
lub poddostawca ma siedzibę poza terytorium Europejskiego Obszaru Gospodarczego lub
powierzone czynności mają być wykonywane poza EOG
Ø bank musi uzyskać zezwolenie KNF na zawarcie umowy. Powierzenie przez bank wykonywania
czynności może nastąpić na podstawie umowy zawartej na piśmie.
31. UMOWA BANKU Z DOSTAWCĄ USŁUG PRZETWARZANIA DANYCH W
CHMURZE
Ø Ważne elementy umowy:
• konieczność posiadania przez dostawcę planu ciągłości działania;
• zobowiązanie dostawcy do przedstawienia opisu rozwiązań technicznych stosowanych przy świadczeniu
usług, zapewniających bezpieczeństwo informacji i sprawną realizację usług;
• zobowiązanie do realizacji usług na terenie EOG lub uzależnienie wejścia w życie umowy od zgody KNF
na realizację usług lub dostawcę spoza EOG;
• warunki podzlecania przez dostawcę czynności (podoutsourcingu/podpowierzenia), w tym
ü obowiązek uzyskania zgody banku na stałe podpowierzenie,
ü obowiązek uzależnienia podpowierzenia poza EOG lub podmiotowi spoza EOG od zgody KNF,
ü obowiązek dalszego „przeniesienia” na poddostawcę istotnych obowiązków dostawcy (w tym w
szczególności tych, które są konsekwencją przepisów);
32. UMOWA BANKU Z DOSTAWCĄ USŁUG PRZETWARZANIA DANYCH W
CHMURZE – C.D.
Ø brak ograniczeń odpowiedzialności;
Ø zasady monitorowania sposobu wykonywania umowy i ryzyka związanego z jej przedmiotem;
Ø sposób współpracy z kontrolą wewnętrzną i audytorem banku;
Ø zobowiązanie dostawcy do poddania się kontroli KNF oraz uprawnienia dostępu KNF do informacji
o umowie i jej wykonywaniu;
Ø prawo banku do zmiany umowy wskutek decyzji lub zaleceń KNF;
Ø zobowiązanie dostawcy do przedstawiania dokumentów założycielskich i rejestracyjnych
dostawcy.
33. ZAKAZ WYŁĄCZANIA LUB OGRANICZANIA ODPOWIEDZIALNOŚCI
Ø Nie można wyłączyć ani ograniczyć:
ü odpowiedzialności przedsiębiorcy (także zagranicznego) wobec banku za szkody wyrządzone
klientom wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej
ü odpowiedzialności banku za szkody wyrządzone klientom wskutek niewykonania lub
nienależytego wykonania umowy outsourcingowej
Ø Pełna odpowiedzialność dostawcy usług outsourcingowych
34. PODOUTSOURCING
Ø dozwolony, pod warunkiem, że:
ü nie obejmuje całości świadczeń objętych umową outsourcingową
ü jest przewidziany w umowie outsourcingowej
ü bank udzieli zgody na piśmie na konkretny podoutsourcing
ü zostaną spełnione wymogi dla outsourcingu bezpośredniego (np. zakaz ograniczeń
odpowiedzialności, plany ciągłości działania itd.)
Ø incydentalnie - dla odwrócenia skutków katastrofy lub innego przypadku siły wyższej
35. NADZÓR NAD POWIERZONYMI CZYNNOŚCIAMI
Ø Celem zapewnienia nadzoru sobie i KNF nad powierzonymi czynnościami, bank powinien zapewnić
w umowie z dostawcą usług prawo do kontrolowania m.in.:
• pomieszczeń, gdzie wykonywane są usługi,
• dokumentacji usługodawcy, w tym dokumentów finansowych (także przez biegłego
rewidenta banku)
• innych dokumentów związanych ze świadczonymi usługami w zakresie, w jakim jest to
niezbędne do oceny jakości usług, sytuacji prawnej i finansowej usługodawcy i jego
zdolności do świadczenia usług w sposób należyty i nieprzerwany
Ø Przy przetwarzaniu danych w chmurze może to być utrudnione
36. SANKCJE
Ø KNF może nakazać w drodze decyzji podjęcie działań, które mają na celu zmianę lub nawet
rozwiązanie umowy outsourcingowej (podoutsourcingowej), gdy:
ü wykonanie umowy zagraża ostrożnemu i stabilnemu systemowi zarządzania bankiem; lub
ü przedsiębiorca lub przedsiębiorca zagraniczny będący stroną umowy stracił wymagane uprawnienia
niezbędne do wykonania tej umowy.
Ø wniesienie przez bank skargi na decyzję KNF nie wstrzymuje wykonania takiej decyzji
Ø Upływ wyznaczonego przez KNF terminu i nie zrealizowanie nałożonych obowiązków może
spowodować, że KNF wystąpi z wnioskiem o odwołanie prezesa banku lub nałoży karę finansową
do 1.000.000 zł.
37. TAJEMNICA UBEZPIECZENIOWA
Ø „Zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których
zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania
tajemnicy dotyczącej poszczególnych umów ubezpieczenia.” (art. 35 ust. 1 ustawy o działalności
ubezpieczeniowej i reasekuracyjnej)
• źródło – konstytucyjne prawo do prywatności
• przedmiot ochrony – zestaw danych, który pozwala zidentyfikować „poszczególną umowę
ubezpieczenia”, w tym co najmniej dane zakładu ubezpieczeń, dane ubezpieczającego oraz
przedmiot ubezpieczenia
• Wyłączenie spod tajemnicy – ogólna informacja, że X jest ubezpieczony u ubezpieczającego
Y
38. TAJEMNICA UBEZPIECZENIOWA – C.D.
Ø Nie dotyczy złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa
Ø Początek tajemnicy – zawarcie umowy ubezpieczenia; wcześniej ochrona na innych podstawach
prawnych (ochrona danych osobowych, ochrona dóbr osobistych itd.)
Ø Odstąpienie konsumenta nie zwalnia od tajemnicy
Ø Tajemnica jest nieograniczona w czasie, nawet po wygaśnięciu umowy
Ø Kto jest objęty tajemnicą?
ü Oprócz zakładu ubezpieczeniowego i jego pracowników – także pośrednicy ubezpieczeniowi
ü Osoby powiązane z ZU stosunkiem cywilnoprawnym
ü Doradcy podatkowi, zewnętrzni aktuariusze
39. TAJEMNICA UBEZPIECZENIOWA A DANE OSOBOWE
Ø Przepisy danej ustawy dot. przetwarzania danych stosuje się wtedy, gdy przewidują dalej idącą
ochronę, niż w ustawie o ochronie danych osobowych
Ø Budowanie baz danych klientów ubezpieczającego – dozwolone (bo dotyczy nieobjętej tajemnicą
informacji o ubezpieczonym i ubezpieczającym), pod warunkiem uzyskania stosownych zgód
Ø Udostępnianie danych podmiotom innym, niż wymienionym w ustawie(m.in. sądy, prokuratury,
ABW, NIK, GIODO) – sporne, ale raczej dozwolone na podstawie wyraźnej zgody ubezpieczonego
40. STANOWISKO KNF
Ø Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska
teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji z dnia 16 grudnia 2014 r.
Ø Analogiczne (a w zakresie CC – identycznie) - Rekomendacja D dotycząca zarządzania obszarami technologii
informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (styczeń 2013)
• Procedury doboru usługodawców zewnętrznych powinny uwzględniać ryzyko związane z danymi
usługami i ocenę sytuacji ekonomiczno-finansowej usługodawcy, zapewnianego poziomu
bezpieczeństwa oraz jakości świadczonych usług
• Ubezpieczający/bank powinien analizować ryzyko upadłości usługodawcy lub jego nagłego wycofania
się ze współpracy i posiadać plany awaryjne na wypadek takiej sytuacji
• Ubezpieczający/bank powinien monitorować jakość usług usługodawcy i okresowo prezentować
spostrzeżenia zarządowi ubezpieczającego/banku
41. STANOWISKO KNF – C.D.
Ø W przypadku, gdy usługodawca cloud computingu świadczy usługi obejmujące dane objęte tajemnicą,
ubezpieczający/bank powinien w szczególności:
• wprowadzić adekwatne mechanizmy kontrolne zapewniające poufność danych (np. poprzez ich szyfrowanie),
• zapewnić, aby informacje o wszelkich incydentach zagrażających bezpieczeństwu danych były raportowane przez
dostawcę,
• posiadać informacje o tym, w jakich lokalizacjach geograficznych dane te są przetwarzane oraz jakie przepisy prawa
obowiązują tam w przedmiotowym zakresie, oraz zapewnić zgodność świadczonych usług w zakresie przetwarzania
danych, z przepisami prawa obowiązującymi w Polsce,
• zapewnić skuteczne mechanizmy pozwalające na bezpieczne zakończenie współpracy (w szczególności w zakresie
zwrotu danych oraz ich usunięcia),
• przeanalizować zasadność i ewentualnie wprowadzić obowiązek przedstawiania przez dostawcę certyfikatów w
zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji (szczególnie w
przypadku przetwarzania danych poza granicami EOG).