Új EIOPA iránymutatás a felhőszolgáltatások kiszervezés útján történő igénybevételéről

Biztosítási jog Felügyelet 2020. március 4.

Az Európai Biztosítás- és Foglalkoztatóinyugdíj-Hatóság (EIOPA) nemrég kiadta a végleges iránymutatását (Iránymutatás) a felhőszolgáltatók felé történő kiszervezésről.

Hiánypótlónak tekinthető ez az iránymutatás hiszen a felhőszolgáltatások igénybevételéről mindeddig egyedül az Európai Bankhatóság publikált ajánlást a bankszektorra vonatkozóan.

Megjegyezzük azonban, hogy az MNB az Európai Bankhatóság előbb említett ajánlását alapul véve, az abban szereplő előremutató követelményeket és gyakorlatokat értékelve a 4/2019. (IV.1.) számú ajánlásában (Ajánlás) már megfogalmazta a felhőszolgáltatások igénybevételével összefüggő, a pénzügyi közvetítőrendszer valamennyi szereplőjére vonatkozó elvárásait. Bár az Ajánlás és az Iránymutatás által érintett témakörök között fedezhető fel átfedés (így például a lényeges tevékenységek értékelése, felhőszolgáltatás igénybevételével érintett tevékenységek nyilvántartása, kockázatelemzés, szerződéses követelmények, adatvédelem, ellenőrzés) az Iránymutatás bővebb és részletesebb szabályokat tartalmaz. Ebből következően az MNB várhatóan módosítani fogja az Ajánlást, vagy a biztosítási szektorra vonatkozó új ajánlást ad ki.

Az Iránymutatás 2021. január 1-től alkalmazandó azt követően hatályba lépett vagy módosított kiszervezési megállapodásokra, illetve szabályzatokra. A már létező szerződések és szabályzatok felülvizsgálatának határideje 2022. december 31.

A már ismert Ajánlás fényében az Iránymutatás általunk legfontosabbnak ítélt irányelvei az alábbiak.

Nyilvántartási követelmények (5. Irányelv)

A dokumentációs kötelezettség körében ez az irányelv konkretizálja, hogy a vállalkozások mely adatokról kötelesek nyilvántartást vezetni az igénybe vett felhőszolgáltatással érintett valamennyi lényeges tevékenységek tekintetében.

Nem lényeges tevékenységek kiszervezése esetén a vállalkozásnak a felhőalapú szolgáltató által nyújtott szolgáltatásokkal járó kockázatok jellege, mérete és összetettsége alapján meg kell meg határoznia a rögzítendő adatokat.

A felhőszolgáltató közreműködője – „sub-outsourcing” (11. Irányelv)

Ha felhőszolgáltató részéről közreműködő igénybevétele megengedett, a kiszervezési megállapodás:

1) tartalmazza azokat a tevékenység típusokat, amelyeket közreműködő nem végezhet;

2) tartalmazza azokat a feltételeket, amelyeknek a közreműködő is köteles megfelelni. Ezek a feltételek szükségképpen magukban foglalják az ellenőrzési és hozzáférési jogokat, valamint az adatok és rendszerek biztonságát;

3) tartalmazza, hogy a felhőszolgáltató felelős a sub-outsourcing alá eső tevékenységek ellátásáért;

4) tartalmazza a felhőszolgáltató azon kötelezettségét, hogy tájékoztassa a vállalkozást az közreműködők személyében, illetve az általuk ellátott tevékenységekben bekövetkező jelentős változásokról, amelyek hatással lehetnek a felhőszolgáltató szerződéses kötelezettségeinek teljesítésére;

5) a vállalkozás hozzájárulásához köti a közreműködők személyének, illetve az általuk ellátott tevékenységek felhőszolgáltató általi megváltoztatását.

Felmondási jog (15. Irányelv)

A lényeges tevékenységek felhőszolgáltató felé történő kiszervezése esetén a kiszervezési megállapodásban a vállalkozásnak egyértelműen meghatározott kivezetési stratégiával kell rendelkeznie, amely biztosítja, hogy szükség esetén megszüntethesse a megállapodást. A felmondás nem járhat hátrányos következménnyel a biztosítottak részére nyújtott szolgáltatások folyamatossága és minősége vonatkozásában.

Az Iránymutatás következtében felmerülő teendők

2021. január 1-jéig a biztosítóknak frissíteniük kell a belső szabályzataikat és eljárásaikat annak érdekében, hogy azok megfeleljenek az Iránymutatásnak, továbbá minden, 2021. január 1-jén vagy azt követően megkötött vagy módosított kiszervezési szerződésnek összhangban kell lennie az Iránymutatás előírásaival. Mindeközben meg kell kezdeni a kiszervezési megállapodások felülvizsgálatát a megfeleléshez szükséges módosítások azonosítása céljából.

Az iránymutatás az alábbi linken érhető el:

https://www.eiopa.europa.eu/content/guidelines-outsourcing-cloud-service-providers_en

Vissza a hírekhez