Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Outsourcing usług bankowych w kontekście bezpieczeństwa przetwarzania danych osobowych

Dane osobowe 28.09.2017

Outsourcing usług bankowych w kontekście bezpieczeństwa przetwarzania danych osobowych

Z art. 31 ust. 1 ustawy o ochronie danych osobowych wynika uprawnienie administratora danych osobowych do powierzenia na podstawie pisemnej umowy wykonywania czynności przetwarzania danych osobowych. Umowa taka powinna wskazywać cel oraz zakres przetwarzania i najczęściej będzie ona umową o świadczenie usług, do której odpowiednie zastosowanie znajdą przepisy Kodeksu cywilnego.

Przedmiotem umowy przetwarzania danych mogą być wszelkie operacje dokonywane na danych osobowych, a więc nie tylko wykorzystywanie danych w celach określonych przez administratora danych, lecz także samo ich przechowywanie (w ramach hostingu czy archiwizacji) jak i ich usunięcie. Szczególnie w sektorze bankowym popularne jest korzystanie z hostingu na serwerach zewnętrznego usługodawcy.

Powierzenie wykonywania czynności obejmujących przetwarzanie danych osobowych

Stosownie do art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć na podstawie pisemnej umowy wykonywanie czynności obejmujących przetwarzanie danych, w tym przy użyciu systemu teleinformatycznego, innemu podmiotowi. Podmiot taki nie staje się ich administratorem, jednak przed rozpoczęciem przetwarzania zobowiązany jest podjąć środki zabezpieczające (m. in. zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, możliwość powołania administratora bezpieczeństwa informacji, obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane). Podmiot, któremu powierzono przetwarzanie danych osobowych, w ww. zakresie ponosi taką samą odpowiedzialność jak administrator danych, który z kolei zobowiązany jest do nadzoru nad tym podmiotem.

GIODO w swoich zaleceniach wskazuje, że to do administratora danych należy wybór takiego rozwiązania informatycznego (systemu informatycznego), które spełnia wymogi zawarte w ustawie i aktach wykonawczych do niej. Wiąże się to z wyborem takiego dostawcy usług internetowych, który oferuje system informatyczny spełniający wymogi ustawy. Należy wskazać, że administrator danych zawierający umowę powierzenia przetwarzania danych osobowych z dostawcą usług internetowych ma wpływ na treść takiej umowy i jego obowiązkiem jest ujęcie w niej wszystkich aspektów dotyczących ochrony przetwarzanych danych. W umowie takiej podmiot, któremu zleca się przetwarzanie danych osobowych, powinien być poinformowany przede wszystkim o fakcie, że na jego serwerach będą przetwarzane dane osobowe i w związku z tym przyjmuje on na siebie odpowiedzialność wynikającą ze wskazanych powyżej przepisów.


Ponadto, stosownie do oficjalnych zaleceń GIODO: „Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie.”

Rekomendacja „D” KNF z 2013 r.

Zgodnie z rekomendacją D Komisji Nadzoru Finansowego z 2013 r. dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (rekomendacja nr 10), bank powinien posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego, uwzględniające również usługi świadczone przez podmioty należące do grupy kapitałowej banku. Zgodnie z tą rekomendacją, bank nie powinien traktować zlecania jakichkolwiek usług podmiotowi zewnętrznemu jako zwolnienia z odpowiedzialności za jakość i bezpieczeństwo usług świadczonych na rzecz klientów oraz bezpieczeństwo ich danych.

  1. Procedury doboru usługodawcy przez bank

Stosownie do zaleceń KNF, procedury doboru usługodawców zewnętrznych – zwłaszcza w przypadku usług o istotnym znaczeniu dla banku – powinny uwzględniać ryzyko związane z danymi usługami i obejmować w szczególności ocenę sytuacji ekonomiczno-finansowej usługodawcy, zapewnianego przez niego poziomu bezpieczeństwa oraz jakości świadczonych usług (w miarę możliwości również na podstawie doświadczeń innych podmiotów).

Bank powinien też analizować ryzyko związane z upadłością usługodawcy zewnętrznego lub jego nagłym wycofaniem się ze współpracy oraz posiadać skuteczne plany awaryjne związane z wystąpieniem takich sytuacji. Bank powinien również w miarę możliwości ograniczać liczbę przypadków, w których usługodawca zewnętrzny posiada w stosunku do banku pozycję monopolistyczną.

Bank powinien monitorować jakość usług świadczonych przez dostawców zewnętrznych, zaś istotne spostrzeżenia wynikające z tego monitoringu powinny być okresowo prezentowane zarządowi banku w ramach systemu informacji zarządczej. Zakres, częstotliwość i metody monitorowania i raportowania powinny uwzględniać specyfikę świadczonych usług oraz ich istotność z perspektywy ciągłości i bezpieczeństwa działania banku.

W przypadku, gdy usługi świadczone przez podmiot zewnętrzny obejmują przetwarzanie danych o wysokim stopniu poufności lub istotności dla banku poza infrastrukturą teleinformatyczną banku (np. w modelu Cloud Computing lub innych formach modelu Application Service Provision, w zewnętrznych centrach przetwarzania danych itp.), bank powinien w szczególności:

  • wprowadzić odpowiednie mechanizmy kontrolne zapewniające poufność tych danych (np. poprzez ich szyfrowanie),
  • zapewnić, aby informacje o wszelkich incydentach zagrażających bezpieczeństwu danych były raportowane przez dostawcę,
  • posiadać informacje o tym, w jakich lokalizacjach geograficznych dane te są przetwarzane oraz jakie przepisy prawa obowiązują tam w przedmiotowym zakresie, oraz zapewnić zgodność świadczonych usług z przepisami prawa obowiązującymi w Polsce,
  • zapewnić skuteczne mechanizmy pozwalające na bezpieczne zakończenie współpracy (w szczególności w zakresie zwrotu danych oraz ich usunięcia – wraz ze wszystkimi kopiami – przez dostawcę usług),
  • przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia obowiązku przedstawiania przez dostawcę certyfikatów w zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji (szczególnie w przypadku przetwarzania danych poza granicami Europejskiego Obszaru Gospodarczego).
  1. Nadzór banku nad działalnością hostingodawcy

Bank powinien sprawować kontrolę nad działalnością usługodawcy w zakresie świadczonych przez niego usług. W zależności od charakteru i poziomu istotności tych usług z perspektywy banku oraz klasyfikacji informacji przetwarzanych przez usługodawcę (w szczególności wynikającej z wymagań prawnych dotyczących przetwarzania danych osobowych klientów banku), kontrola taka może w szczególności polegać na:

  • weryfikacji stosowanych przez dostawcę mechanizmów kontrolnych, w tym w zakresie środków ochrony i kontroli dostępu do pomieszczeń usługodawcy, w których odbywa się świadczenie usług na rzecz banku,
  • przeglądzie wyników weryfikacji mechanizmów kontrolnych realizowanych – np. z wykorzystaniem standardu SSAE 16 – przez audyt wewnętrzny usługodawcy lub niezależnych audytorów zewnętrznych.

Możliwość sprawowania kontroli nad działalnością zewnętrznych dostawców usług powinna być regulowana w zawieranych z nimi umowach.

  1. Wymogi dotyczące umów banku z hostingodawcą

Umowy zawierane z zewnętrznymi dostawcami usług powinny w miarę możliwości określać:

  • zakresy odpowiedzialności stron umowy,
  • zakres informacji i dokumentacji przekazywanych przez usługodawcę w związku ze świadczeniem usług,
  • zasady wymiany i ochrony informacji, w tym warunki nadawania pracownikom podmiotów zewnętrznych praw dostępu do informacji oraz zasobów środowiska teleinformatycznego banku, uwzględniające w szczególności obowiązujące przepisy prawa oraz regulacje banku w tym zakresie; w przypadku usługodawców posiadających dostęp do informacji o wysokim stopniu poufności, uregulowana powinna zostać również kwestia odpowiedzialności za zachowanie tajemnicy tych informacji w okresie wykonywania usług oraz po zakończeniu umowy,
  • zasady związane z prawami do oprogramowania (w tym jego kodów źródłowych) w trakcie współpracy i po jej zakończeniu, w szczególności dostępu do kodów źródłowych w przypadku zaprzestania świadczenia usług wsparcia i rozwoju oprogramowania przez jego dostawcę (np. z wykorzystaniem usług depozytu kodów źródłowych),
  • parametry dotyczące jakości świadczonych usług oraz sposoby ich monitorowania i egzekwowania,
  • zasady i tryb obsługi zgłoszeń dotyczących problemów w zakresie świadczonych usług,
  • zasady i tryb dokonywania aktualizacji oprogramowania komponentów infrastruktury znajdujących się pod kontrolą dostawcy,
  • zasady współpracy w przypadku wystąpienia incydentu naruszenia bezpieczeństwa środowiska teleinformatycznego,
  • zasady w zakresie dalszego zlecania czynności podwykonawcom zewnętrznego dostawcy usług,
  • kary umowne związane z nieprzestrzeganiem warunków umownych, w szczególności w zakresie bezpieczeństwa informacji przetwarzanych przez dostawcę usług.

Umowy zawierane przez bank z zewnętrznymi dostawcami usług powinny zapewniać, że świadczenie usług odbywać się będzie zgodnie z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi oraz przyjętymi w banku standardami.

Wzorce umów lub umowy zawierane przez bank z zewnętrznymi dostawcami usług powinny być weryfikowane w odpowiednim zakresie przez jednostki banku odpowiedzialne za obszar prawny oraz obszar bezpieczeństwa środowiska teleinformatycznego.

Bank powinien posiadać regulacje dotyczące współpracy z pracownikami zewnętrznych dostawców usług, uwzględniające w szczególności:

  • warunki udzielania dostępu do informacji o wysokim stopniu poufności,
  • zasady sprawowania nadzoru nad działaniami pracowników zewnętrznych,
  • konieczność zapewnienia, że każdy pracownik zewnętrzny posiadający dostęp do informacji o wysokim stopniu poufności objęty jest co najmniej takimi restrykcjami w zakresie bezpieczeństwa, jak pracownicy banku posiadający dostęp do takich informacji.

Zasady współpracy pomiędzy bankiem a zewnętrznym dostawcą usług powinny uwzględniać reguły w zakresie komunikacji i koordynacji wykonywanych przez usługodawcę czynności (np. w zakresie przeprowadzania migracji danych, czynności konserwacyjnych, skanowania infrastruktury teleinformatycznej itp.), minimalizujące ich negatywny wpływ na jakość i bezpieczeństwo usług świadczonych na rzecz klientów banku.

W ocenie KNF, bank powinien poświęcić szczególną uwagę ryzyku związanemu z przyznawaniem usługodawcom zewnętrznym (w szczególności spoza grupy kapitałowej) kompetencji w zakresie administrowania prawami dostępu do bankowych systemów informatycznych.

Podsumowując należy stwierdzić, że zarówno przepisy prawa jak i zalecenia GIODO oraz rekomendacje wydane przez odpowiednie organy nadzoru nad sektorem bankowym stawiają przed bankiem cały szereg wymogów prawnych w sytuacji, w której zamierza on skorzystać z usług hostingu na serwerach zewnętrznego podmiotu. W każdym przypadku umowa zawierana z hostingodawcą powinna szczegółowo określać wzajemne obowiązki oraz zakres odpowiedzialności obu stron umowy, uwzględniając jednak bezwzględnie obowiązujące przepisy prawa. Nadrzędnym celem zarówno banku jak i hostingodawcy powinno być jednak wypracowanie mechanizmów zapewniających bezpieczeństwo przetwarzania danych osobowych klientów banku. 

Mateusz Doroszczonek
Konsultant prawny w Kancelarii BSiW