Post on 25-Jun-2020
NOWE ZASADY OCHRONY DANYCH OSOBOWYCH
w kontekście ogólnego rozporządzenia o ochronie danych osobowych (RODO) i współczesnych zagrożeń
Jak dostosować się do zmian i spełnić nowe obowiązki?
AUDYTORZY SZBI
1. AKTY PRAWNE-POLSKIE I MIĘDZYNARODOWE
2. RODO– ISTOTNE POJĘCIA
3. ZMIANY W USTAWIE PRAWO BANKOWE
4. NOWE OBOWIĄZKI ADMINISTRATORÓW DANYCH
5. BEZPIECZEŃSTWO DANYCH W PRAKTYCE - CYBERBEZPIECZEŃSTWO
6. NOWE UPRAWNIENIA KLIENTÓW BANKU
7. ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH
8. KONTROLE I ODPOWIEDZIALNOŚĆ
9. ANALIZA PROBLEMÓW SEKTORA BANKOWEGO
PLAN SZKOLENIA
Dyrektywa UE 95/46
Ustawa o ochronie danych osobowych (UODO) –
implementuje Dyrektywę, obowiązuje bezpośrednio
Rozporządzenia MSWiA – wskazują sposoby
zabezpieczenia danych oraz obowiązki ABI
Aktualny stan prawny
Rozporządzenia Ministra Spraw Wewnętrznych i Administracji
• Ustawa Prawo bankowe
• Ustawa o ochronie danych osobowych
• Ustawa o przeciwdziałaniu praniu pieniędzy
oraz finansowaniu terroryzmu
• Ustawa o elektronicznych instrumentach płatniczych
• Ustawa Prawo telekomunikacyjne
• Ustawa o świadczeniu usług drogą elektroniczną
• Kodeks karny
• Rekomendacja D KNF
Akty prawne
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Z DNIA 27 KWIETNIA 2016
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
KWIECIEŃ 2016
Stan prawny po 25 maja 2018r.
RODO zastępuje UODO obowiązuje bezpośrednio
Nowa UODO – jak działa Urząd Ochrony
Danych Osobowych
Rekomendacje Prezesa UODO -
jak zabezpieczyć dane
Projekt nowej „ustawy o ochronie danych osobowych”
(wrzesień 2017)
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI (ABI)
INSPEKTOR OCHRONY
DANYCH (IOD)
OBOWIĄZEK WYZNACZENIA :
PODMIOTY ADMINISTRACJI PUBLICZNEJ
OPERACJE PRZETWARZANIA-REGULARNE MONITOROWANIE OSÓB NA DUŻĄ SKALĘ
PRZETWARZANIE NA DUŻĄ SKALĘ DANYCH SZCZEGÓLNIE CHRONIONYCH
WYTYCZNE POLSKIEGO ORGANU NADZORCZEGO
Projekt nowej „ustawy o ochronie danych osobowych” Inspektorzy ochrony danych Akredytacja i certyfikacja
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
Europejska współpraca administracyjna
Postępowanie kontrolne
Administracyjne kary pieniężne
Odpowiedzialność cywilna
RODO – REWOLUCJA CZY EWOLUCJA
NEUTRALNOŚĆ TECHNOLOGICZNA
NOWE DEFINICJE
Dane osobowe:
• Dane biometryczne/genetyczne/dotyczące zdrowia
Profilowanie
Pseudonimizacja
Privacy by design – uwzględnienie ochrony danych w fazie projektowania
Privacy by default – domyślna ochrona danych
Analiza ryzyka
Ocena skutków operacji przetwarzania dla ochrony danych
PRZEPISY WPROWADZAJĄCE USTAWĘ O OCHRONIE DANYCH OSOBOWYCH
Projekt z września 2017 r.
Art. 41 ZMIANY W USTAWIE PRAWO BANKOWE
Art. 70: ust.1a W celu oceny zdolności kredytowej oraz wykonania obowiązku zapewnienia bezpieczeństwa przechowywanych środków pieniężnych (art. 50 ust. 2), bank może przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie.
PROFILOWANIE – PODSTAWA PRAWNA
Art. 105a ust.1 Profilowanie może być wykorzystywane: 1) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego 2) do celów statystycznych i analiz- sprawozdawczość Art. 106d ust. 1 Banki mogą dokonywać profilowania i wzajemnego udostępniania informacji, w przypadkach: uzasadnionych podejrzeń, przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw Platforma Antyfraudowa
PROFILOWANIE – PODSTAWA PRAWNA
DANE BIOMETRYCZNE
Art. 112b
ust.1 i 2: Banki mogą przetwarzać dla celów prowadzonej działalności bankowej dane biometryczne w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej, a także uwierzytelnienia czynności dokonywanej przez osobę fizyczną.
Dodano ust. 3: Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób przetwarzania danych biometrycznych, uwzględniając zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń.
NOWY Art. 112e
ust.1. Banki nie są obowiązane do:
1) wykonywania obowiązków informacyjnych dotyczących profilowania w przypadku przetwarzania danych osobowych, na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;
2) zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli takie zawiadomienie może spowodować naruszenie stabilności funkcjonowania sektora bankowego;
3) udzielania informacji i prowadzenia komunikacji częściej niż raz na 3 miesiące; w przypadku żądania częściej niż raz na 3 miesiące, bank jest uprawniony do pobrania opłaty.
Informacja jest kompletna
i wiarygodna
Zapewnienie ciągłości dostępu do informacji
Informacja jest dostępna tylko tym użytkownikom,
którzy otrzymali odpowiednie uprawnienia
POUFNOŚĆ
INTEGRALNOŚĆ
DOSTĘPNOŚĆ
BEZPIECZEŃSTWO INFORMACJI
OBOWIĄZKI ADMINISTRATORÓW DANYCH
ZASADA RZETELNOŚCI I PRAWIDŁOWOŚCI ZASADA PRZEJRZYSTOŚCI ZASADA OGRANICZENIA CELU PRZETWARZANIA ZASADA MINIMALIZACJI DANYCH ZASADA OGRANICZENIA PRZECHOWANIA DANYCH ZASADA ROZLICZALNOŚCI
ART. 5 RODO
WZMOCNIENIE ROLI ZASAD PRZETWARZANIA DANYCH OSOBOWYCH
Przesłanki przetwarzania danych art. 6. RODO
ZGODA w jednym lub większej liczbie określonych celów
niezbędne do wypełnienia obowiązku prawnego
konieczne do realizacji umowy lub podjęcia działań przed zawarcie umowy
niezbędne do ochrony żywotnych interesów osoby
zadania realizowane w interesie publicznym
zapewnienie bezpieczeństwa depozytów, stabilność sektora finansowego
niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych
Jak przetwarzać dane legalnie?
5 FILARÓW PRZETWARZANIA DANYCH OSOBOWYCH
legalność/przejrzystość przetwarzania danych
świadomość osób przetwarzających dane osobowe
zabezpieczenia techniczne i organizacyjne
obowiązki notyfikacyjne (incydenty, IOD)
obowiązki informacyjne i prawa przysługujące osobom,
których dane przetwarzamy
ZMIANA PODEJŚCIA DO SYSTEMU ZARZĄDZANIA OCHRONĄ INFORMACJI Art.24 RODO
Polityki ochrony danych Zasada proporcjonalności
ROZLICZALNOŚĆ
ŚRODKI TECHNICZNE I ORGANIZACYJNE
Regularne przeglądy i aktualizacja
stan wiedzy technicznej,
koszt wdrożenia
DANE:
charakter
zakres
kontekst
cele
ryzyko naruszenia praw lub wolności
osób fizycznych
OBOWIĄZKI ADMINISTRATORÓW DANYCH
Ocena skutków dla ochrony danych (Art. 35 RODO)
obowiązek w odniesieniu do operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych
KIEDY? • Przetwarzanie w celu podjęcia decyzji wobec konkretnej osoby fizycznej
na podstawie profilowania;
• przy przetworzeniu szczególnych kategorii danych osobowych, w tym danych biometrycznych oraz danych dotyczących wyroków skazujących i naruszeń prawa;
• w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Ocena zdolności kredytowej;
Przetwarzanie danych biometrycznych klientów lub pracowników w celu
identyfikacji lub weryfikacji osoby w systemach kontroli dostępu;
Systemy kontroli czasu pracy;
Systemy kontroli wejścia do określonych pomieszczeń;
Systemy rozliczeniowo-ewidencyjne operacji bankowych;
Systemy sprawdzania klientów w bazach informacji kredytowej;
Systemy monitorowania czasu pracy oraz przepływu informacji
w wykorzystywanych przez pracowników narzędziach (np. poczcie
elektronicznej, Internecie);
Systemy profilowania klientów pod kątem zidentyfikowania preferencji
zakupowych.
Prezes Urzędu opracowuje i udostępnia w BIP rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych
Zatwierdzone Kodeksy Dobrych Praktyk
Opinie Grupy Roboczej art 29
ISO
Standardy, dobre praktyki…
JAK???
• Zaangażowanie wszystkich jednostek i komórek organizacyjnych
Banku przetwarzających dane osobowe
• Współpraca i sprawny przepływ informacji pomiędzy poszczególnymi
zespołami a IOD
• Świadomość pracowników bezpośredniej obsługi klienta
STRUKTURA ORGANIZACYJNA
A ZARZĄDZANIE I NADZOR NAD OCHRONĄ DANYCH
ROZLICZALNOŚĆ
Kierownik jednostki/komórki organizacyjnej
• Kontrola wprowadzanych danych
• Zgłaszanie zmian w zakresie i sposobie przetwarzania danych osobowych
• Przeprowadzanie wstępnej analizy ryzyka naruszenia praw lub wolności
osób fizycznych
• Bieżący nadzór nad zbiorem danych osobowych (okres przechowywania)
• Zapewnienie ochrony przetwarzanych danych osobowych przed
dostępem osób nieuprawnionych zgodnie z obowiązującymi procedurami
• Zmiany w regulacjach/wnioskach/umowach (np. dot. obowiązków
informacyjnych)
IDO
PRACOWNICY
Obowiązek informacyjny – sposoby, zakres przekazywanych informacji, odstępstwa
Zgody na przetwarzanie danych
Żądania Klientów – realizacja praw klientów
Zakres danych
Zgłaszanie incydentów
Zgłoszenie do IOD :
Naruszenia ochrony danych osobowych/podejrzenia takiego naruszenia;
Otrzymanie od klienta wniosku o:
• udzielenie informacji,
• żądania zaprzestania lub ograniczenia przetwarzania danych,
• sprzeciwu wobec przetwarzania danych,
• przeniesienie danych osobowych.
Zabezpieczenia techniczne i organizacyjne
• pseudonimizacja i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych
i dostępu do nich w razie incydentu fizycznego lub technicznego; • regularne testowanie, mierzenie i ocenianie skuteczności środków
technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania
Art. 32. ust. 1. RODO
• ustalenie procedur bezpieczeństwa i ich przestrzeganie • obowiązek prowadzenia rejestru czynności przetwarzania danych • "czynnik ludzki"- odpowiedzialność i właściwe przeszkolenie pracowników • system kontroli wewnętrznej, raportowanie wycieków danych
BEZPIECZEŃSTWO OSOBOWO - ORGANIZACYJNE
• bezpieczeństwo i nadzór systemów informatycznych, kontrola dostępu • privacy by design • ciągłość działania - backup • monitoring zabezpieczeń, audyt IT
BEZPIECZEŃSTWO INFORMATYCZNE
• zabezpieczenie pomieszczeń i budynków • zabezpieczenie dokumentacji papierowej • kontrola dostępu do pomieszczeń
BEZPIECZEŃSTWO FIZYCZNE
CYBERBEZPIECZEŃSTWO
Raport PwC za rok 2017 • 44% polskich przedsiębiorstw poniosło
straty finansowe • 62% odnotowało zakłócenia i przestoje w
funkcjonowaniu Najczęstsze źródło ataków • 33% pracownicy • 28% hakerzy • 13% byli pracownicy
CYBERBEZPIECZEŃSTWO
Bagatelizowanie cyberbezpieczeństwa może doprowadzić np. do:
• zakłóceń w kursowaniu pociągów
• chaosu na lotnisku
• wstrzymania wypłat pieniędzy z bankomatów
Najbardziej zagrożone sektory gospodarki:
• energetyka
• FINANSE - B A N K I
• telekomunikacja
CYBERBEZPIECZEŃSTWO
Rodzaje ataków: • DDoS - (ang. Distributed Denial of Service – generowanie dużej
ilości sztucznego ruchu tak, aby zablokować działanie urządzenia/usługi)
• DLP - (ang. Data Leak Protection, ochrona przed wyciekiem danych)
• Ochrona przed atakami MALWARE - (ang. Malware – złośliwy, złowrogi – termin obejmujący wszelkiego rodzaju złośliwe oprogramowanie lub skrypty, które są szkodliwe dla systemów informatycznych)
• Keyloggers - (ang. keyloggers) – odczytują i zapisują wszystkie naciśnięcia klawiszy użytkownika. W ten sposób adresy, kody i inne poufne dane mogą dostać się w niepowołane ręce.
• Inne
CYBERBEZPIECZEŃSTWO
Najsłabszym ogniwem bezpieczeństwa w firmie
są pracujący w niej ludzie:
• niewiedza
• niewinny mail do pracownika
• znaleziony klucz USB
• szantaż
• potrzeby finansowe
CYBERBEZPIECZEŃSTWO
DZIAŁANIA ZAPOBIEGAWCZE
PRACOWNIK
• nieotwieranie załączników pocztowych niewiadomego pochodzenia
• wyłączanie makr w plikach MS Office nieznanego pochodzenia
• zasada czystego biurka
• zasada czystego ekranu
• zasada tajemnicy bankowej
• zasada nieufności
• zasada spostrzegawczości
CYBERBEZPIECZEŃSTWO
DZIAŁANIA ZAPOBIEGAWCZE
FIRMA
• procedury bezpieczeństwa
• szkolenia dla personelu
• testy bezpieczeństwa (firma zewnętrzna)
• audyty bezpieczeństwa (firma zewnętrzna)
• DLP – ochrona przed wyciekiem danych
• EDR – ochrona serwerów i komputerów
• Managed Firewall – zapora bezpieczeństwa
• ochrona aplikacji on-line szczególnie tam, gdzie zbierane są dane osobowe
CYBERBEZPIECZEŃSTWO
DZIAŁANIA ZAPOBIEGAWCZE DZIAŁ IT
• przy płatnościach drogą elektroniczną upewnienie się, że transmisja danych będzie szyfrowana (banking mode)
• używanie oryginalnego systemu i aplikacji pochodzących z legalnego źródła
• włączona zapora sieciowa z modułem HIPS, która zapobiega uruchamianiu zagrożeń typu „zero day”
• stałe aktualizowanie oprogramowania • czytanie okien instalacyjnych aplikacji oraz ich licencji • regularne skanowanie systemu programem antywirusowym i skanerami
wykrywającymi szkodliwe oprogramowanie • instalacja programów prewencyjnych (wykrywania i zapobiegania
włamaniom) • instalacja oprogramowania antywirusowego
OBOWIĄZEK REJESTROWANIA CZYNNOŚCI PRZETWARZANIA
Podstawowe funkcje obowiązku prowadzenia rejestru: 1. Zachowanie przez administratora i podmiot przetwarzający
zgodności z RODO
2. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania
ZESPÓŁ POWIĄZANYCH ZE SOBĄ OPERACJI NA DANYCH, WYKONYWANYCH PRZEZ
JEDNĄ LUB KILKA OSÓB, KTÓRE MOŻNA OKREŚLIĆ W SPOSÓB ZBIORCZY,
W ZWIĄZKU Z CELEM, W JAKIM TE CZYNNOŚCI SĄ PODEJMOWANE.
Art. 30 RODO
art. 30 ust. 5 RODO, obowiązek prowadzania rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że czynności przetwarzania, które wykonują:
1) mogą powodować ryzyko naruszenia praw lub wolności osób, których
dane dotyczą,
2) nie mają charakteru sporadycznego lub obejmują szczególne kategorie
danych osobowych,
3) dotyczą wyroków skazujących i naruszeń prawa.
Dokumentacja powinna zawierać informacje na temat: • Administratora danych, inspektora ochrony danych osobowych,
a także wszystkich osób będących odbiorcami danych;
• Celu dokonywanych procesów;
• Kategorii danych osobowych i podmiotów objętych przetwarzaniem;
• Okresów przechowywania danych;
• Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
ZAKRES INFORMACJI W REJESTRACH CZYNNOŚCI PRZETWARZANIA DANYCH
Nazwa współadministratora
i dane kontaktowe (jeśli dotyczy)
Nazwa podmiotu przetwarzajacego
i dane kontakowe
(jeśli dotyczy)
Kategorie odbiorców (innych niż podmiot
przetwarzajacy)
Nazwa systemu lub
oprogramowania
Ogólny opis technicznych i organizacyjnych srodków bezpieczeństwa zgodnie z
art. 32 ust. 1 (jeżeli jest to możliwe)
DPIA (jeśli tak, lokalizacja
raportu)
Transfer do kraju trzeciego lub org. międzynarodowej
Transfer do kraju trzeciego lub organizacji
międzynarodowej (nazwa kraju i
podmiotu)
Jeśli transfer i art. 49 ust. 1 akapit
drugi - dokumentacja odpowiednich zabezpieczeń
Art.. 30 ust. 1 pkt a Art.. 30 ust. 1 pkt
d Art.. 30 ust. 1
pkt d Art.. 30 ust. 1 pkt g Art. 30 ust. 1 pkt e Art. 30 ust. 1 pkt e
Nie dotyczy Nie dotyczy Dane nie są przekazywane innym podmiotom
System Kadry. Dokumentacja papierowa.
Zamykane szafy w pomieszczeniach zamykanych, dostępnych tylko dla upoważnionych osób. Kontrola dostępu do systemu informatycznego, dostęp tylko dla osób upoważnionych.
Brak - DPIA nie jest wymagane
Nie dotyczy Nie dotyczy
LP. Nazwa czynności
przetwarzania
Jednostka organizacyjna (departament,
dział itp.)
Cel przetwarzania Kategorie osób Kategorie danych Podstawa
prawna Źródło danych
Planowany termin usunięcia
kategorii danych (jeżeli jest to możliwe)
Art.. 30 ust. 1 pkt
b Art.. 30 ust. 1
pkt c Art.. 30 ust. 1 pkt c Art.. 30 ust. 1 pkt f
1.
Rekrutacja pracowników
Dyrektor Rekrutacja pracowników
Kandydaci do pracy
Dane identyfikacyjne, dane adresowe, dane o wykształceniu, stażu pracy, uprawnieniach zawodowych.
Zgoda osób, których dane dotyczą
Kandydaci do pracy
Po zakończeniu procesu rekrutacyjnego
LP. Nazwa czynności
przetwarzania Jednostka organizacyjna (departament, dział itp.)
Cel przetwarzania Kategorie osób Kategorie danych
Art. 30 ust. 1 pkt b Art. 30 ust. 1 pkt c Art. 30 ust. 1 pkt c
1.
UDZIELANIE KREDYTÓW
1. Oddziały 2. Analitycy Kredytowi 3. Dział Weryfikacji Kredytowych 4. Dział Decyzji Kredytowych
Wykonywanie czynności bankowych zmierzających do zawarcia oraz związanych z wykonaniem umów kredytowych
1. Klienci 2. Poręczyciele 3. Osoby dające zabezpieczenie inne niż poręczyciele
1. Klient - dane identyfikacyjne, dane adresowe, dane kontaktowe, dane o sytuacji ekonomiczno-finansowej, dane o zobowiązaniach, dane o wielkości gospodarstwa domowego 2. Poręczyciele - dane identyfikacyjne, dane adresowe, dane o sytuacji ekonomiczno-finansowej, dane o dotychczasowych zobowiązaniach kredytowych 3. Osoby dające zabezpieczenie inne niż poręczyciele – dane identyfikacyjne, dane adresowe, dane o sytuacji ekonomiczno-finansowej, dane o dotychczasowych zobowiązaniach kredytowych
Podstawa prawna Źródło danych Planowany termin usunięcia
kategorii danych (jeżeli jest to możliwe)
Art. 30 ust. 1 pkt f
1. Klient - Przetwarzanie niezbędne do zawarcia i wykonania umowy art. 6 ust. 1 lit. b RODO
- Osoba, której dane dotyczą wyraziła zgodę - zgoda na zapytania do biur informacji gospodarczej - art. 6 ust. 1 lit. a RODO 2. Poręczyciele - Przetwarzanie niezbędne do zawarcia umowy, a także do wykonania umowy - art. 6 ust. 1 lit. b RODO 3. Osoby dające zabezpieczenie inne niż poręczyciele - Przetwarzanie niezbędne do zawarcia umowy, a także do wykonania umowy - art. 6 ust. 1 lit. b RODO
1. Klient 2. Poręczyciel 3. Osoby dające zabezpieczenie inne niż poręczyciele
Po odwołaniu zgody klienta (art. 105a ust. 2) Prawa bankowego) lub po 10 latach od wygaśnięcia zobowiązania z umów - na podstawie prawnie uzasadnionych interesów realizowanych przez Bank, z wyjątkiem stwierdzenia sytuacji nadrzędności interesu lub podstawowych praw i wolności osoby, której dane dotyczą (art. 6 ust. 1 lit. f RODO)
Nazwa współadministratora
i dane kontaktowe (jeśli dotyczy)
Nazwa podmiotu przetwarzajacego i dane kontakowe
(jeśli dotyczy)
Kategorie odbiorców (innych niż podmiot
przetwarzajacy)
Nazwa systemu lub
oprogramowania
Ogólny opis technicznych i organizacyjnych srodków
bezpieczeństwa zgodnie z art. 32 ust. 1
(jeżeli jest to możliwe)
DPIA (jeśli tak, lokalizacja
raportu)
Transfer do kraju trzeciego lub org. międzynarodowej
Transfer do kraju trzeciego lub organizacji
międzynarodowej (nazwa kraju i
podmiotu)
Jeśli transfer i art. 49 ust. 1 akapit
drugi - dokumentacja odpowiednich zabezpieczeń
Art. 30 ust. 1 pkt a Art. 30 ust. 1 pkt d Art. 30 ust. 1 pkt d Art.. 30 ust. 1 pkt g Art. 30 ust. 1 pkt e Art. 30 ust. 1 pkt e
Nie dotyczy
SoftNet
Biuro Informacji Kredytowej Biura Informacji gospodarczej Inne banki i nstytucje kredytowe Inne uprawnione podmioty wymienione w przepisach prawa
EUROBANK
1. Zamykane szafy w pomieszczeniach zamykanych, dostępnych tylko dla upoważnionych osób. 2. Kontrola dostępu do systemu informatycznego, dostęp tylko dla osób upoważnionych. 3. Ochrona fizyczna obiektów poza godzinami pracy
TAK Nie dotyczy
Nie dotyczy
zwięzła, przejrzysta, zrozumiała i łatwo dostępna forma
jasny i prosty język
standardowe znaki graficzne
wolne od opłat
BRAK- ciężkie
naruszenie ochrony
danych osobowych (art.83 ust.5)
adres siedziby i nazwa administratora
cel zbierania danych
prawo dostępu do swoich danych oraz ich poprawiania
prawo do wniesienia sprzeciwu
dobrowolność albo obowiązek podania swoich danych
informacje o odbiorcach lub kategoriach odbiorców
NOWE OBOWIĄZKI INFORMACYJNE
Katalog informacji - nowości
• Dane kontaktowe IOD
• Podstawa prawna przetwarzania
• Prawnie uzasadniony interes realizowany przez administratora
• Okres przez jaki dane będą przechowywane
• Prawo do przenoszenia danych
• Cofnięcie zgody w dowolnym momencie
• Wniesienie skargi do organu nadzorczego
• Informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu – zasadach ich podejmowania oraz znaczeniu i przewidywanych konsekwencjach dla praw i wolności osoby
Klauzule informacyjne
NOWE OBOWIĄZKI INFORMACYJNE
PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
KLIENCI BANKU
ART.15 - 22 RODO
OBOWIĄZKI INFORMACYJNE
PRAWO DOSTĘPU
PRAWO DO SPROSTOWANIA
PRAWO DO BYCIA ZAPOMNIANYM
PRAWO DO OGRANICZENIA PRZETWARZANIA
PRAWO DO PRZENOSZENIA DANYCH
PRAWO DO SPRZECIWU
Administrator dostarcza kopię danych osobowych podlegających przetwarzaniu
Za wszelkie kolejne kopie administrator może pobrać opłatę
Administrator powinien mieć możliwość udzielania zdalnego
dostępu do danych osobowych Administrator zapewnia weryfikację tożsamości
żądającej dostępu osoby
PRAWO DOSTĘPU
Dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, przesłane innemu administratorowi jeżeli:
przetwarzanie odbywa się na podstawie zgody lub
na podstawie umowy przetwarzanie odbywa się w sposób zautomatyzowany
Art. 20 RODO (…) 2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. (…)
PRAWO DO PRZENOSZENIA DANYCH
W PRZYPADKU BANKÓW- OGRANICZONE
prawo żądania niezwłocznego usunięcia danych osobowych- w następujących przypadkach: dane osobowe nie są już niezbędne do celów, w których zostały zebrane;
cofnięcia zgody, na której opiera się przetwarzanie i nie ma innej podstawy
prawnej przetwarzania;
wniesienia sprzeciwu wobec przetwarzania;
dane osobowe były przetwarzane niezgodnie z prawem;
PRAWO DO BYCIA ZAPOMNIANYM
Nie ma zastosowania:
do korzystania z prawa do wolności wypowiedzi i informacji; do wywiązania się z prawnego obowiązku wymagającego
przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator;
do celów archiwalnych w interesie publicznym, do celów badań
naukowych lub historycznych lub do celów statystycznych; do ustalenia, dochodzenia lub obrony roszczeń.
PRAWO DO BYCIA ZAPOMNIANYM
ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH
ADMINISTRATOR
DANYCH
BEZ ZBĘDNEJ ZWŁOKI 72H – PO STWIERDZENIU NARUSZENIA
ORGAN NADZORU
BRAK OBOWIĄZKU ZGŁOSZENIA INCYDENTU JEŚLI …jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
TREŚĆ ZGŁOSZENIA Zgłoszenie musi co najmniej:
• opisywać charakter naruszenia ochrony danych osobowych, w tym wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą,
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony
danych
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków
NOWE UPRAWNIENIA ORGANU NADZORCZEGO
• Uprawnienie do nakładania administracyjnych kar pieniężnych
• Przyjmowanie zawiadomień o naruszeniu ochrony danych od ADO
• Opiniowanie, zatwierdzanie i publikowanie kodeksów postępowania
• Udzielanie pisemnych zaleceń w ramach ocen skutków dla ochrony danych
• Większa niż dotychczas współpraca z IOD (obecnymi ABI)
• Międzynarodowa współpraca administracyjna
• Udział w Europejskiej Radzie Ochrony
Plan kontroli Reakcja na tzw. Donos W toku postępowania w sprawie naruszenia przepisów
o ochronie danych osobowych
Odpowiedzialność cywilna karna administracyjne kary pieniężne
każda z tych dróg może zostać wykorzystana niezależnie - naruszenie będzie mogło być karane trzykrotnie
URZĄD OCHRONY DANYCH OSOBOWYCH Rada do spraw Ochrony Danych Osobowych
Kontrolujący może:
• Udzielić upomnienia w przypadku naruszenia przepisów;
• Nakazać dostosowanie operacji przetwarzania do przepisów RODO;
• Żądać wszczęcia wobec pracownika postępowania przewidzianego prawem
w przypadku dopuszczenia do uchybień;
• Zastosować administracyjną karę pieniężną (art. 83);
• Wydać postanowienie zabezpieczające - ograniczenie przetwarzania
danych (art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1).
KONTROLA - ADMINISTRATORZY DANYCH I PODMIOTY PRZETWARZAJĄCE
• Brak uwzględnienia ochrony danych w fazie projektowania • Brak umowy powierzenia przetwarzania danych osobowych • Brak rejestru czynności przetwarzania danych osobowych • Niezgłoszenie incydentu naruszenia bezpieczeństwa
przetwarzania danych osobowych • Naruszenie zasad bezpieczeństwa • Niedopełnienie obowiązku informacyjnego • Naruszenie warunków wyrażenia zgody
na przetwarzanie danych • Łączenie zgód na przetwarzanie danych • Brak podstawy prawnej przetwarzania danych
ODPOWIEDZIALNOŚĆ
ADMINISTRACYJNE KARY PIENIĘŻNE
Art. 83 RODO Charakter, waga i czas trwania naruszenia
10 milionów euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
20 milionów euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
podmioty publiczne, administracyjne kary pieniężne w wysokości do 100 000 zł
Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności (…), jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. (art. 82 ust. 3)
Rejestr czynności Rejestr (dokumentacja) incydentów Upoważnienia Polityki i strategie bezpieczeństwa Procedury (incydenty/przenoszenie
danych/prawo do bycia zapomnianym itp.) Wyznaczenie IOD Ocena skutków przetwarzania Inne dokumenty
GIODO
ADO
2016 W LICZBACH
ANALIZA PROBLEMÓW SEKTORA BANKOWEGO
DOTYCHCZASOWE KONTROLE I SPRAWDZENIA
Kontrola w wybranych obszarach/Wystąpienia o dokonanie sprawdzeń
WYKRYTE NIEPRAWIDŁOWOŚCI: • Niewłaściwe dopełnienie obowiązku informacyjnego • Niezgłoszenie zbiorów • Zbieranie danych w szerszym zakresie • Zbieranie danych nieadekwatnych do celu przetwarzania • Nieprawidłowe klauzule zgód marketingowych /łączenie zgód • Uchybienia w procesie przetwarzania danych przy użyciu systemów
informatycznych • Brak podstawy prawnej przetwarzania danych • Niepełna wiedza ABI w zakresie ochrony danych PRZYCZYNY: • Błędna interpretacja przepisów • Niekonsekwencja w stosowaniu procedur i przepisów • Brak środków finansowych
SKARGI NARUSZENIA PRZEPISÓW O OCHRONIE DANYCH
Służba zdrowia
Sprawy pracownicze
Administracja publiczna
Działalność marketingowa
Banki
Instytucje finansowe
SKARGI GŁÓWNE PROBLEMY BANKÓW W 2016 ROKU
• Podstawy prawne/Zakres pozyskiwanych danych
• Przetwarzanie danych dla celów marketingowych pomimo wyrażonego
sprzeciwu
• Opóźnienia w spełnieniu obowiązku informacyjnego
• Udostępnianie danych BIK (realizacja art. 105a ust.3 Prawa bankowego)
Aktualizacja danych osobowych – windykacja
• Środki komunikacji elektronicznej – poprawność danych kontaktowych
niewłaściwe zabezpieczenie pomieszczeń,
urządzeń lub dokumentów
niepoprawne zabezpieczenie sprzętu komputerowego oraz oprogramowania
nieprzestrzeganie zasad ochrony danych
przez pracowników
TOP 3 ZAGROŻEŃ
INCYDENTY BEZPIECZEŃSTWA INFORMACJI
o naruszenie poufności danych;
o próby ominięcia systemu zabezpieczeń;
o skażenie systemu szkodliwym oprogramowaniem
(także nośników);
o próby wyłudzenia informacji zawierających dane
(phishing lub skimming);
o łamanie wewnętrznych ustaleń, regulacji i przepisów w firmie
(dotyczących firmy i klientów).
Incydenty ODO - obszary krytyczne
Poczta elektroniczna
Nośniki danych
Udostępnienie danych
Usuwanie danych
Cyberatak na skalę globalną
Ponad 200 tysięcy komputerów w ponad 150 krajach Szpitale, sieci telefoniczne, firmy usługowe….
WannaCry oprogramowanie typu ransomware
• wykorzystuje lukę w zabezpieczeniach
systemu Windows
• rozprzestrzenia się przez sieć
• blokada dostępu do plików na komputerze
• okup w kryptowalucie bitcoin.
ATAKI Z WYKORZYSTANIEM RANSOMWARE kwartalny wzrost liczby ataków w 2016r.
Źródło: Quartz, Engadget, Guardian, BBC, MalwareHunterTeam.
Dziękujemy za uwagę
użytkownicy systemu informatycznego są odpowiedzialni za wszelkie działania z użyciem ich identyfikatora oraz hasła;
zabronione jest korzystanie z kont: administrator oraz z konta innego użytkownika;
udostępnienie hasła postronnej osobie jest incydentem naruszenia ochrony danych osobowych;
w przypadku opuszczania stanowiska pracy należy zastosować
systemową blokadę komputera;
Zasady bezpieczeństwa informacji
przy wysyłaniu informacji drogą elektroniczną konieczne jest dokładne zweryfikowanie adresata oraz treści przesyłanych dokumentów;
nie należy przesyłać informacji służbowych z wykorzystaniem prywatnych nośników oraz wykorzystywać służbowych urządzeń (tj. komputerów, laptopów, telefonów) do prywatnych celów;
w przypadku wykrycia naruszenia bezpieczeństwa danych osobowych bądź podejrzenia naruszenia bezpieczeństwa danych osobowych należy niezwłocznie poinformować osoby odpowiedzialne za bezpieczeństwo danych osobowych;
Zasady bezpieczeństwa informacji
zasada czystego biurka/czystego ekranu;
prawidłowe ustawienie monitorów;
niszczenie dokumentów w sposób uniemożliwiający
odtworzenie treści;
osoby nieupoważnione zawsze „pod nadzorem”;
oprogramowanie instaluje tylko i wyłącznie administrator IT;
nośniki elektroniczne poza miejscem pracy zabezpiecza się
za pomocą środków kryptograficznych;
Zasady bezpieczeństwa informacji
Anna Stręk
anna.strek@servus-comp.pl Audytor Wiodący SZBI, Członek IIA Polska
tel. 781555025
Ewa Niesiołowska
ewa.niesiolowska@servus-comp.pl Audytor Wiodący SZBI, Członek IIA Polska
tel. 698635051
Andrzej Popiołek
andrzej.popiolek@servus-comp.pl Audytor Wiodący SZBI, Członek IIA Polska
tel. 602 220 749
NASI AUDYTORZY
www.zadbajobezpieczenstwo.pl
Nota prawna
1) Niniejszy materiał przeznaczony jest wyłącznie do wglądu dla uczestników szkolenia –
Zarządu i pracowników Banku.
2) Wszystkie zamieszczone materiały są chronione prawami autorskimi.
3) Niniejszy materiał ani żaden jego fragment nie może być reprodukowany, przetwarzany i rozpowszechniany
w jakikolwiek sposób za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających
i innych.
4) Zabronione jest rozpowszechnianie opracowań materiałów, powielanie lub rozpowszechnianie szaty
graficznej lub jej elementów niezależnie od przyczyn lub celu takiego rozpowszechniania.
5) Dozwolone jest: ładowanie, wyświetlanie, kopiowanie przedmiotowych materiałów wyłącznie przez
uczestników szkolenia – Zarządu i pracowników Banku- w zakresie dozwolonego użytku osobistego (nie
komercyjnego), pod warunkiem, że materiały nie są modyfikowane i sposób ich wykorzystania nie narusza
osobistych praw autorskich.
6) Wszelkie naruszenia praw autorskich podlegają sankcjom przewidzianym w Kodeksie karnym i ustawie
o prawie autorskim i prawach pokrewnych.