Nowelizacja ustawy Prawo bankowe złagodziła przepisy dotyczące stosowania outsourcingu w Polsce. Komisja Europejska chce ułatwić korzystanie z usług w modelu cloud computing.

Nieco ponad miesiąc temu, dzięki nowelizacji Prawa bankowego, dokonano wielu ważnych dla sektora bankowego zmian w zakresie stosowania outsourcingu IT. De facto - jak mówi Maciej Gawroński, partner i szef polskiego oddziału kancelarii Bird & Bird - było to dostosowanie do rzeczywistości obowiązujących przepisów.

W nowelizacji wprowadzono trzy istotne zmiany. Po pierwsze umożliwiono dostawcom usług outsourcingowych zlecanie pewnych działań podwykonawcom. "To oczywiście już się działo od lat, choć nie było jasno określone w obowiązujących przepisach" - komentuje Maciej Gawroński. Ponadto - co może ważniejsze - zgodzono się, aby na podobnych zasadach traktować firmy oferujące usługi outsourcingu w Polsce i w pozostałych krajach Unii Europejskiej. "De facto - zgodnie z przepisami o swobodzie świadczenia usług - powinno tak już być od 1 maja 2004 r., gdy weszliśmy do Unii Europejskiej" - mówi szef polskiego oddziału kancelarii Bird & Bird.

Trzecia, równie istotna zmiana dotyczy likwidacji wymogu zgłaszania do Komisji Nadzoru Finansowego zamiaru skorzystania z outsourcingu oferowanego zarówno przez podmiot krajowy, jak i unijny. "Trzeba być jedynie gotowym na odpowiedzi na pytania z KNF" - opowiada Maciej Gawroński. "Przed nowelizacją trzeba było przesłać do Komisji wymagane dane przed podpisaniem umowy. KNF dostawał jednak tyle wniosków o zgodę na outsourcing, że trzeba było zmienić podejście. Zrezygnowano więc z tego wymogu" - dodaje.

Przy tej okazji należy zwrócić uwagę, iż konieczna będzie również nowelizacja prawa ubezpieczeniowego wymagana przez prawo unijne. Regulacje ubezpieczeniowe dostosowane zostaną do prawa bankowego, które było bardziej restrykcyjne m.in. właśnie w zakresie outsourcingu. Formalnie zmiany powinny być wprowadzone do końca października 2012 roku.

Paneuropejski rynek cloud computing

Równolegle Komisja Europejska pracuje nad nową strategią dotyczącą usług cloud computing. Ma ona obowiązywać w całej Unii Europejskiej. "Nowa strategia będzie polegała na harmonizacji prawa, które upowszechnią cloud computing we wszystkich krajach Unii Europejskiej" - zapowiada Neelie Kroes, Komisarz UE ds. Agendy Cyfrowej. Strategia Przetwarzania Danych w Chmurze powinna zostać ogłoszona przez KE na wiosnę 2012 r.

Niedawno w Parlamencie Europejskim odbyła się - m.in. na ten temat - konferencja "Cloud computing: siła napędowa przyszłego wzrostu i tworzenia miejsc pracy w Europie Środkowej i Wschodniej". Zorganizowana została przez Rafała Trzaskowskiego - członka Europejskiej Partii Ludowej, we współpracy z polskim biurem Microsoft, partnera polskiej prezydencji. Przedstawiciele Microsoftu powołują się na przykład wykorzystania cloud computing w Grecji. Do roku 2020 - dzięki wykorzystaniu tego modelu biznesowego - powstać ma tam 38 tys. nowych miejsc pracy. Jednocześnie greccy przedsiębiorcy mają zaoszczędzić 5 mld euro.

"Cloud computing powinno być jednym z najważniejszych punktów przyszłej polityki innowacyjności w Europie, jako rozwiązanie, które może uczynić zaistnienie przez firmy na rynku mniej kapitałochłonnym i mniej kosztownym. Jak wszyscy wiemy, nowe firmy generują wzrost gospodarczy i zatrudnienie. Początek dają im przedsiębiorcy chętni do podejmowania ryzyka i ciężkiej pracy, aby odnieść sukces. Nowe technologie sprawiły, że dużo prościej i taniej można założyć firmę, zarówno sektorach tworzących rozwiązania IT, jak i tych, które je wykorzystują" - przekonuje Rafał Trzaskowski.

Polskie realia chmury obliczeniowej

A jak to dziś wygląda w Polsce? Kancelaria Bird & Bird opracowała dla Związku Banków Polskich raport "Cloud Computing w sektorze finansowym - regulacje i standardy". "Dotychczas nie ma w Polsce przepisów ani urzędowych interpretacji, czy zaleceń odnoszących się bezpośrednio do przetwarzania chmurowego. Istnieją natomiast normy regulujące powierzanie przetwarzania informacji oraz outsourcing. Stąd w tym dokumencie staramy się interpretować istniejące regulacje pod kątem tego, jakie tworzą uwarunkowania dla przetwarzania w chmurze" - mówi Maciej Gawroński, pod redakcją którego powstał raport. Raport miał premierę 16 listopada 2011 r. na konferencji IT@Bank 2011 a ponadto został również zaprezentowany w Brukseli na wyżej wspomnianej konferencji w Parlamencie Europejskim. Jest on dostępny na stronach internetowych Związku Banków Polskich i Bird & Bird.

Regulacje, które stosują się do przetwarzania chmurowego, to przede wszystkim przepisy o ochronie danych osobowych oraz przepisy dotyczące outsourcingu. Z punktu widzenia ochrony danych osobowych co do zasady cloud computing stanowi powierzenie przetwarzania danych osobowych innemu podmiotowi. Istnieje rozbieżność pomiędzy tradycyjnym, terytorialnym spojrzeniem na ochronę danych osobowych a modelem przetwarzania w chmurze. Organy ochrony danych osobowych wskazują na to, że w kontekście chmury uprawnienia właściciela informacji względem dostawcy chmury, w szczególności uprawnienia do nadzoru nad przetwarzaniem danych (w tym dawania wiążących wytycznych dostawcy chmury, czy możliwością audytu) są iluzoryczne. Rozwiązaniem może być nowe podejście do rozumienia tych uprawnień.

Po pierwsze, prawo nadzoru nad danymi powinno być rozumiane w ten sposób, że właściciel informacji wybierając dostawcę chmury dokonuje wyboru sposobu przetwarzania danych w chmurze. Ten wybór byłby oparty na tym, że właściciel informacji może skorzystać z usługi o określonych standardowych parametrach i może w każdym czasie z niej zrezygnować - nie może jednak modyfikować usługi czy dostosowywać jej do swoich indywidualnych potrzeb. Po drugie, nadzór i audyt mógłby być dokonywany za pośrednictwem odpowiednich certyfikowanych podmiotów trzecich.

Kolejnym zagadnieniem jest wymóg, aby właściciel danych miał każdorazowo świadomość tego, gdzie znajdują się dane a także kto przetwarza dane w imieniu ich właściciela. Z perspektywy praktycznej rozwiązaniem mogłoby być konkretne określenie podmiotów, które mogą przetwarzać dane, a także lokalizacji, w których dane mogą być przetwarzane. Jeśli byłoby to potrzebne w konkretnym przypadku, możliwe byłoby zlokalizowanie konkretnego miejsca przetwarzania danych oraz podmiotu przetwarzającego. Natomiast z perspektywy bezpieczeństwa danych nie ma potrzeby, aby właściciel danych permanentnie śledził dane lub miał wiedzę o ich położeniu w danej chwili.

Regulacje sektora finansowego dotyczące powierzania czynności na zewnątrz zwracają przede wszystkim uwagę na to, czy dana czynność lub proces, które mają być wydzielone na zewnątrz, są dla organizacji krytyczne. Za takie uważa się w szczególności czynności związane z dostępem do informacji prawnie chronionej ale także i inne, których zakłócenie naruszyłoby zdolność świadczenia przez instytucję finansową usług swoim klientom. Przy tym, podobnie jak w przypadku ochrony danych osobowych, Unia Europejska z dużo większą nieufnością (a co za tym idzie z większym formalizmem) traktuje przetwarzanie danych poza terytorium Europejskiego Obszaru Gospodarczego.

"Wydaje się, że przechodzenie do chmury będzie następować. Już w tej chwili duża część najpopularniejszych usług konsumenckich świadczona jest z wykorzystaniem chmur obliczeniowych. Wygoda dla konsumenta z tym związana powoduje, że procesu tego w obszarze B2C raczej nie da się zatrzymać. W obszarze B2B proces jest wolniejszy - bardziej kontrolowany administracyjnie i z większą odpowiedzialnością traktowany przez potencjalnych klientów" - podsumowuje Maciej Gawroński.

Źródło:networld.pl