Czy do Office 365 i Google Docs należy stosować „Komunikat Chmurowy” UKNF?

Zawartość

Myślisz, że Komunikat KNF w sprawie przetwarzania danych w chmurze Cię nie dotyczy, bo masz własne serwery aplikacji w swojej siedzibie? Korzystasz przy tym z Office 365 i przechowujesz dane dokumenty tekstowe oraz arkusze kalkulacyjne w OneDrive? A może korzystasz z Google Docs i przechowujesz te dokumenty na ich Drive? Warto zastanowić się czy do nich również nie stosujemy Komunikatu chmurowego.

Opublikowany 23 stycznia 2020 roku Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej przez większość podmiotów nadzorowanych oraz dostawców IT postrzegany jest przede wszystkim w kategorii przetwarzania informacji w sposób masowy i zautomatyzowany. Część dostawców usług płatniczych jest przekonana, że odnosi się on tylko do przetwarzania np. baz danych aplikacji płatniczych.

Warto jednak zwrócić uwagę na jeszcze jedną stronę tego Komunikatu i jego interpretacji. W pewnych przypadkach musimy liczyć się z tym, że również takie usługi chmurowe jak Office 365 czy Google Docs będą nim objęte. A to oznacza, że dostawcy usług płatniczych, którzy dziś korzystają z tych pakietów biurowych muszą liczyć się z koniecznością objęcia ich działaniami wskazanymi w komunikacie.

Wszystko rozbija się o definicję „chmury”

Zawarta w Komunikacie definicja chmury brzmi tak:

„pula współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy”

Dostawcy usług Office 365 czy Google Docs, wprost w swoich materiałach wskazują, że są to usługi chmurowe. Korzystając z Office 365 czy Google Docs najczęściej przechowujemy dokumenty na serwerach „chmurowych” Google czy Microsoftu – czyli w ich pamięciach masowych. Jeśli przyjmiemy, że są to również usługi oparte o chmurę w rozumieniu Komunikatu – to mamy pierwszą przesłankę do stwierdzenia, że Komunikat może mieć zastosowanie.

Dane przetwarzane w aplikacjach biurowych a Komunikat

O ile przyjmiemy, że mamy do czynienia z chmurą obliczeniową według definicji zawartej w Komunikacie to jest jeszcze druga przesłanka oceny jego stosowania. Ocena kategorii przetwarzanych danych. Jeśli w ramach usług pakietów biurowych Google czy Microsoft w ich chmurze będziemy przechowywać informacje „prawnie chronione” w rozumieniu Komunikatu – to Komunikat powinien być stosowany, nawet jeśli usługa nie ma dla nas charakteru istotnego.

Wystarczy więc, że w arkuszu kalkulacyjnym będziemy przechowywać np. zestawienia transakcji naszych klientów, czyli informacje objęte tajemnicą zawodową (płatniczą). Mamy informacje prawnie chronioną, Komunikat powinien być stosowany.

Inny przykład – umowy z akceptantami. Jeśli instytucja chciałaby takie umowy tworzyć i przechowywać w usłudze opartej o chmurę publiczną – to jest duże prawdopodobieństwo, że znajdą się w tej chmurze informacje prawnie chronione. I znów – Komunikat powinien być stosowany.

Co jeśli trzeba stosować Komunikat?

Z pewnością w trakcie wdrażania Komunikatu dostawca usług płatniczych powinien uwzględnić korzystanie z wszystkich aplikacji opartych o chmurę. Jeśli uzna, że Komunikat ma zastosowanie również do wykorzystywanych przez niego aplikacji biurowych – wtedy pociągnie to za sobą wszystkie konsekwencje z tym związane.

Konieczne będzie przeprowadzenie stosownej oceny ryzyka, zweryfikowanie umowy i zadbanie o stosowną jej treść, itd. Trzeba też o tym poinformować KNF – do 1 listopada 2020 roku (przesunięte z 1 sierpnia 2020 roku z powodu COVID-19).

Oczywiście – zapewne część dostawców będzie rękoma i nogami bronić się przed uznaniem aplikacji biurowych za objęte komunikatem. Natomiast w mojej ocenie – będą istnieć przypadki, kiedy przechowywanie dokumentów w chmurze Google czy Microsoft będzie wymagać spełnienia wymogów wskazanych przez UKNF.

DORA, AI Act, NIS2, i PSR: Jak nowe regulacje zmienią branże FinTech i IT?

Chcesz wiedzieć, co te zmiany oznaczają dla Ciebie i Twojej firmy? Dołącz do naszego bezpłatnego webinaru.

Tomasz Klecor

Partner zarządzający
w kancelarii Legal Geek