System Insly, Dysk Google, Dropbox, OneDrive, systemy kalkulacji składki – to tylko przykłady chmur obliczeniowych z których coraz częściej korzystają agenci ubezpieczeniowi. Mimo przesunięcia terminu, już 1 listopada należy dostosować się do nowego Komunikatu UKNF dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Wymaga to podjęcia przez agentów czterech podstawowych czynności, które warto wdrożyć już dziś.

Bezdyskusyjnie ubezpieczenia są branżą coraz silniej regulowaną na poziomie krajowym oraz unijnym. Dlatego też Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), wśród pięciu priorytetów na rok 2020, umieścił aż cztery związane z nowymi technologiami. W Polsce natomiast, KNF za jeden z priorytetów uznaje uregulowanie korzystania z chmury obliczeniowej.
Dlatego też Urząd Komisji Nadzoru Finansowego (UKNF) w dniu 23 stycznia 2020 roku wydał komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Dokument ten dotyczy zakładów ubezpieczeń, agentów i brokerów, którzy korzystają z usług chmury obliczeniowej. Biorąc pod uwagę, że są to obecnie bardzo powszechnie wykorzystywane usługi, można szacować, że nowe wymogi dotyczą niemalże KAŻDEGO agenta w Polsce.

Zmiana terminu ze względu na Covid-19!

Pierwotna data dostosowania się do nowych reguł dla podmiotów już korzystających z chmury określona została na 1 sierpnia 2020 roku. W związku ze stanem epidemii na terenie Rzeczypospolitej Polskiej została ona przesunięta na 1 listopada 2020 roku. Czasu wbrew pozorom nie jest zbyt wiele. Co więcej – podmioty rozpoczynające korzystanie z chmury obliczeniowej muszą wypełnić te obowiązki dużo wcześniej – nie później niż 30 dni po rozpoczęciu korzystania z usługi (a po 1 listopada – na 14 dni przed rozpoczęciem korzystania z chmury). Treść komunikatu dostępna jest pod adresem: https://www.knf.gov.pl/aktualnosci?articleId=68672&p_id=18

Nowy komunikat wymaga, aby udokumentować podjęcie wszystkich wymaganych kroków – nie wystarczy zatem przeprowadzenie ich ustnie lub nieformalnie. W praktyce oznacza to więc konieczność stworzenia dokumentacji dotyczącej procesu korzystania z usług chmury obliczeniowej przez podmiot nadzorowany.

Pełna odpowiedzialność w zakresie działań dostosowawczych została przerzucona na podmioty nadzorowane. Nie można przy tym wyłączyć odpowiedzialności dostawcy chmury. Dlatego tak ważne jest odpowiednie skonstruowanie lub przeanalizowanie już zawartej umowy z dostawcą usługi chmury obliczeniowej, w zakresie m.in. podziału odpowiedzialności w odniesieniu do bezpieczeństwa przetwarzanych informacji.

Analiza takiej umowy powinno być pierwszą z czynności dostosowawczych. Na podstawie umowy i załączonej do niej dokumentów (m.in. SLA, regulaminów, specyfikacji, licencji) i informacji tam zawartych możliwe jest bowiem dokonanie dalszych czynności dostosowawczych.

Kolejne trzy czynności dostosowawcze, które powinien podjąć każdy podmiot nadzorowany objęty zastosowaniem komunikatu to:

  • przeprowadzenie (udokumentowanego) procesu klasyfikacji i oceny informacji pod kątem dopuszczalności ich przetwarzania w chmurze obliczeniowej (następnie regularnie, lecz nie rzadziej niż raz w roku, należy przeglądać i potwierdzać aktualność stosowanej klasyfikacji i oceny informacji do bieżących warunków swojego działania),

 

  • przeprowadzenie (udokumentowanego) procesu szacowania ryzyka (w tym: identyfikacji, analizy oraz oceny zagrożeń, możliwości ich wystąpienia oraz wpływu tego wystąpienia na podmiot nadzorowany),

 

  • opracowanie (udokumentowanego) planu przetwarzania informacji w chmurze obliczeniowej, biorąc za podstawę wyniki szacowania ryzyka.

Co należy wziąć pod uwagę?

W całym procesie należy wziąć pod uwagę minimalne wymogi techniczne i organizacyjne oraz zasady przetwarzania informacji w chmurze, m.in. w zakresie szyfrowania i monitorowania środowiska przetwarzania informacji. Dodatkowo, na 22 stronach komunikatu znajdują się szczegółowe wymogi dotyczące wskazanych czynności dostosowawczych. Efektem działań podmiotu nadzorowanego powinno być poinformowanie UKNF o przetwarzaniu informacji w chmurze obliczeniowej.

Jak więc widać, w obecnych realiach regulacyjnych korzystanie z chmury obliczeniowej (publicznej i hybrydowej) stało się obwarowane wieloma restrykcyjnymi wymogami. Dziś nie wystarczy już deklaracja spełniania wymogów, konieczne staje się udokumentowanie tego procesu na wypadek możliwej kontroli, co pozwoli uniknąć negatywnych konsekwencji dla podmiotu nadzorowanego. Wielość dokumentów, wymogów i regulacji wymaga podejścia kompleksowego, uwzględniającego całokształt przepisów odnoszących się do sektora ubezpieczeniowego.

 

 

Autor:  r.pr. Tomasz Klemt

Autor artykułu: Kancelaria Radcy Prawnego Tomasz Klemt świadczy kompleksowe wsparcie w zakresie wdrożenia zasad przetwarzania informacji w chmurze obliczeniowej.

Członek Katedry Prawa Europejskiego Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, gdzie przygotowuje rozprawę z zakresu nadzoru nad rynkiem finansowym. Absolwent prawa na WPiA Uniwersytetu Warszawskiego oraz finansów i rachunkowości w Szkole Głównej Handlowej w Warszawie, co pozwala mu harmonijnie rozumieć oraz łączyć wymogi prawa i potrzeby biznesowe Klientów. 

W zakładzie ubezpieczeń pełnił funkcję kluczową (wymagającą zgłoszenia do KNF) w zakresie zgodności z prawem (Chief Compliance Officer – CCO), pełnił również funkcję koordynatora współpracy z Ubezpieczeniowym Funduszem Gwarancyjnym. W swojej pracy zawodowej doradzał największym ubezpieczycielom majątkowym i życiowym (m.in. w zakresie OFE, PPK, modeli dystrybucyjnych) oraz dystrybutorom ubezpieczeń (m.in. w zakresie wdrożenia RODO, IDD i ustawy o dystrybucji ubezpieczeń). 

Prowadzi liczne szkolenia skierowane przede wszystkim do podmiotów z branży finansowej: zakładów ubezpieczeń, brokerów i agentów. Przygotowuje pełną dokumentację dotyczącą przetwarzania informacji w chmurze obliczeniowej dla sektora ubezpieczeniowego (zakładów ubezpieczeń, agentów, brokerów). 

 Napisz do autora: t.klemt@kancelariaklemt.pl 

www.kancelariaklemt.pl