Aktualności

SYSTEM OBSŁUGI ZGŁOSZEŃ SYGNALISTÓW
A KOMUNIKAT CHMUROWY KNF

Wybór systemu informatycznego do obsługi zgłoszeń sygnalistów dla większości podmiotów jest zadaniem stosunkowo prostym. Powszechnym kryteriów będzie ocena jakości i łatwości korzystania z niego. Rozwiązania intuicyjne (user-friendly) będą miały przewagę nad innymi. Dla sporej części przedsiębiorców duże znaczenie będzie miała kwestia zabezpieczeń systemu. Ustawa o ochronie sygnalistów stawia wysokie wymagania odnośnie poufności danych i system do obsługi zgłoszeń powinien to zapewniać. Jest jednak grupa podmiotów, która powinna rozważyć jeszcze jedno, nieoczywiste kryterium – zgodność systemu z wymaganiami komunikatu chmurowego KNF1 (dalej: „Komunikat”). Wydaje się bowiem, że banki, ubezpieczycieli, TFI, agenci czy brokerzy powinni ocenić, czy wybrane przez nich narzędzie spełnia wymagania określone w Komunikacie.

W celu zapewnienia prawidłowego funkcjonowania rynku finansowego, jego stabilności oraz bezpieczeństwa, UKNF oczekuje od podmiotów nadzorowanych stosowania modelu referencyjnego podczas działań związanych z przygotowaniem, realizacją oraz zakończeniem przetwarzania informacji w chmurze obliczeniowej, jeżeli:

1. przetwarzane informacje należą do informacji prawnie chronionych w rozumieniu Komunikatu lub
2. przetwarzanie informacji ma charakter outsourcingu szczególnego chmury obliczeniowej w rozumieniu Komunikatu i przetwarzanie informacji jest realizowane w chmurze obliczeniowej publicznej lub hybrydowej (w zakresie jej części opartej o chmurę obliczeniową publiczną).

Biorąc pod uwagę cel Komunikatu (potrzebę zapewnienia jednolitego standardu ochrony w podejściu do korzystania z usług przetwarzania w chmurze obliczeniowej w odniesieniu do tych samych kategorii informacji przez podmioty nadzorowane sektora finansowego, tak by nie było znaczących różnic w ocenie ryzyka technologicznego, a tym samym podwyższonego ryzyka sektorowego) wydaje się, że konieczność objęcia systemu służącego do obsługi zgłoszeń sygnalistów reżimem Komunikatu jest wymogiem nadmiarowym.

Zasadniczo przecież system do obsługi sygnalistów ma służyć do dokonywania zgłoszeń dotyczących naruszeń prawa uzyskanych w kontekście związanym z pracą i w żadnym razie nie jest skonstruowany jako system, którego celem jest przetwarzanie czy obsługa procesów związanych z informacjami prawnie chronionymi.

Niemniej jednak, ze względu na fakt, że zgłoszenia dokonywane przez sygnalistów dotyczyć mogą bardzo szerokiego katalogu działań/zaniechań związanych z działalnością danego podmiotu, nie można wykluczyć, że zdarzą się wśród nich również takie zgłoszenia, które będą obejmowały dane stanowiące informację prawnie chronioną w rozumieniu Komunikatu. Informację taką jest – zgodnie z definicją pkt I.1.2) Komunikatu: informacja związana z tajemnicami sektora finansowego wymienionymi w ustawach sektorowych, tj. m. in.:
ustawa z 29 sierpnia 1997 r. Prawo bankowe;

  • ustawa z 29 lipca 2005 r. o obrocie instrumentami finansowymi;
  • ustawa z 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi;
  • ustawa z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej;
  • ustawa z 15 grudnia 2017 r. o dystrybucji ubezpieczeń
  • ustawa z 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych
  • ustawa z 4 października 2018 r. o pracowniczych planach kapitałowych;
Przedsiębiorca, który jest zobowiązany do wdrożenia systemu obsługi zgłoszeń sygnalistów nie może przy tym wprowadzić ograniczeń, co do zakresu informacji przekazywanych przez sygnalistę za pośrednictwem systemu.

Do kwestii korzystania przez podmiot nadzorowany z zewnętrznych narzędzi (wykorzystujących rozwiązania chmurowe) wspierających w realizacji obowiązków wynikających z ustawy o sygnalistach KNF odnosił się już w 2022 roku (pytanie nr 58 Pytania i odpowiedzi (Q&A) w zakresie stosowania Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – Komisja Nadzoru Finansowego), jednakże odpowiedź ta nie daje jednoznacznych rozstrzygnięć i pozostawia obowiązek oceny i decyzji po stronie podmiotu nadzorowanego.

UKNF w odpowiedzi wskazuje:
Jeżeli w ramach platformy wykorzystującej usługę chmury obliczeniowej, dochodzić będzie do przetwarzania informacji prawnie chronionych wskazanych w ustawach sektora finansowego, to wystąpi pierwsza z dwóch sytuacji przedmiotowego zakresu stosowania Komunikatu. 

Komunikat powinien być bowiem stosowany w przypadku przetwarzania informacji prawnie chronionych bez względu na to czy dochodzi do outsourcingu szczególnego chmury obliczeniowej w rozumieniu Komunikatu czy występuje outsourcing chmury obliczeniowej inny niż szczególny.

Ustalenia zatem wymaga czy w jakimkolwiek z przypadków dokonywania zgłoszenia typu „whistleblowing”,  informacje prawnie chronione mogą być przetwarzane w chmurze obliczeniowej publicznej lub hybrydowej (w zakresie jej części opartej o chmurę obliczeniową publiczną), co przesądzi o wymogu notyfikacyjnym z Komunikatu.

Mając zatem na uwadze, iż w ramach systemu do obsługi zgłoszeń sygnalistów mogą być przetwarzane informacje mające charakter informacji prawnie chronionych w rozumieniu Komunikatu wydaje się, iż system, w zakresie w jakim, wykorzystuje rozwiązania chmurowe, powinien podlegać ocenie z punktu widzenia zgodności z wymogami Komunikatu, a także obowiązkowi notyfikacji do KNF.

Ocena zgodności wymagać będzie jednak uwzględnienia charakteru i celu wykorzystania tego systemu (czyli uwzględnienia, że celem systemu nie jest przetwarzanie informacji prawnie chronionych) oraz faktu, że informacje o tym szczególnym charakterze mogą mieć jedynie charakter wpadkowy.

Podejście to ma charakter ostrożnościowy, niemniej jednak uwzględniając potencjalne ryzyka naruszenia wymogów Komunikatu zasadnym wydaje się zachowanie tego trybu.

Szukasz rozwiązania, które spełnia wymagania Ustawy i Komunikatu? Wspólnie z Safe and Trust które przygotowaliśmy rozwiązanie, które wspiera przedsiębiorców w realizacji wymogów Ustawy z uwzględnieniem zasad określonych Komunikatem.

Stworzony przez nas system cechuje się tym, iż:
  • zapewnia pełne szyfrowanie danych end-to-end
  • niezabezpieczony dokument nie jest przesyłany do systemu
  • dostawca systemu nie może zapoznać się z treścią zgłoszeń
  • klucz szyfrujący nie jest zapisywany w systemie
  • treść informacji chroniona jest przed zmanipulowaniem dzięki utrwaleniu oryginalnej treści w publicznym blockchain (zmiana zawartości zapisanych plików nie zostanie uwierzytelniona w blockchain, co gwarantuje, że zgłoszenie nie może zostać zmanipulowane)
  • system zapewnia pełną anonimowość – nie zapisuje żadnych danych bez zgody sygnalisty, nie gromadzi ciasteczek w przeglądarkach, dane nie są (i nie mogą być – z uwagi na zastosowane rozwiązania technologiczne) przetwarzane, analizowane i profilowane przez system i Big Tech’y (np. Google czy Microsoft)

  • nie istnieje ryzyko przypadkowego usunięcia informacji o zgłoszeniu, wzmianka o nim na zawsze pozostanie na blockchain

Oferujemy również wsparcie w obsłudze procesu zgłoszeń oraz szkolenia dla osób, które będą w obsługę tego procesu zaangażowane. Napisz do nas.

1 https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf

Skontaktuj się z nami

+ 48 695 686 204

lub

Wypełnij formularz kontaktowy

Kontakt
NM Lex_white

Nowakowska Muzal Kancelaria Adwokatów i Radców Prawnych sp.j.

Dane kontaktowe:
  • Adres: Ul. Koszykowa 59/8
    00-660 Warszawa
  • Telefon: + 48 695 686 204
  • Email : kancelaria@nmlex.pl
Menu:

RODO