NOWE ZASADY OCHRONY DANYCH OSOBOWYCH€¦ · nowe obowiĄzki administratorÓw danych 5....

NOWE ZASADY OCHRONY DANYCH OSOBOWYCH

w kontekście ogólnego rozporządzenia o ochronie danych osobowych (RODO) i współczesnych zagrożeń

Jak dostosować się do zmian i spełnić nowe obowiązki?

AUDYTORZY SZBI

1. AKTY PRAWNE-POLSKIE I MIĘDZYNARODOWE

2. RODO– ISTOTNE POJĘCIA

3. ZMIANY W USTAWIE PRAWO BANKOWE

4. NOWE OBOWIĄZKI ADMINISTRATORÓW DANYCH

5. BEZPIECZEŃSTWO DANYCH W PRAKTYCE - CYBERBEZPIECZEŃSTWO

6. NOWE UPRAWNIENIA KLIENTÓW BANKU

7. ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH

8. KONTROLE I ODPOWIEDZIALNOŚĆ

9. ANALIZA PROBLEMÓW SEKTORA BANKOWEGO

PLAN SZKOLENIA

Dyrektywa UE 95/46

Ustawa o ochronie danych osobowych (UODO) –

implementuje Dyrektywę, obowiązuje bezpośrednio

Rozporządzenia MSWiA – wskazują sposoby

zabezpieczenia danych oraz obowiązki ABI

Aktualny stan prawny

Rozporządzenia Ministra Spraw Wewnętrznych i Administracji

• Ustawa Prawo bankowe

• Ustawa o ochronie danych osobowych

• Ustawa o przeciwdziałaniu praniu pieniędzy

oraz finansowaniu terroryzmu

• Ustawa o elektronicznych instrumentach płatniczych

• Ustawa Prawo telekomunikacyjne

• Ustawa o świadczeniu usług drogą elektroniczną

• Kodeks karny

• Rekomendacja D KNF

Akty prawne

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Z DNIA 27 KWIETNIA 2016

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

KWIECIEŃ 2016

Stan prawny po 25 maja 2018r.

RODO zastępuje UODO obowiązuje bezpośrednio

Nowa UODO – jak działa Urząd Ochrony

Danych Osobowych

Rekomendacje Prezesa UODO -

jak zabezpieczyć dane

Projekt nowej „ustawy o ochronie danych osobowych”

(wrzesień 2017)

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI (ABI)

INSPEKTOR OCHRONY

DANYCH (IOD)

OBOWIĄZEK WYZNACZENIA :

PODMIOTY ADMINISTRACJI PUBLICZNEJ

OPERACJE PRZETWARZANIA-REGULARNE MONITOROWANIE OSÓB NA DUŻĄ SKALĘ

PRZETWARZANIE NA DUŻĄ SKALĘ DANYCH SZCZEGÓLNIE CHRONIONYCH

WYTYCZNE POLSKIEGO ORGANU NADZORCZEGO

Projekt nowej „ustawy o ochronie danych osobowych” Inspektorzy ochrony danych Akredytacja i certyfikacja

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Europejska współpraca administracyjna

Postępowanie kontrolne

Administracyjne kary pieniężne

Odpowiedzialność cywilna

RODO – REWOLUCJA CZY EWOLUCJA

NEUTRALNOŚĆ TECHNOLOGICZNA

NOWE DEFINICJE

Dane osobowe:

• Dane biometryczne/genetyczne/dotyczące zdrowia

Profilowanie

Pseudonimizacja

Privacy by design – uwzględnienie ochrony danych w fazie projektowania

Privacy by default – domyślna ochrona danych

Analiza ryzyka

Ocena skutków operacji przetwarzania dla ochrony danych

PRZEPISY WPROWADZAJĄCE USTAWĘ O OCHRONIE DANYCH OSOBOWYCH

Projekt z września 2017 r.

Art. 41 ZMIANY W USTAWIE PRAWO BANKOWE

Art. 70: ust.1a W celu oceny zdolności kredytowej oraz wykonania obowiązku zapewnienia bezpieczeństwa przechowywanych środków pieniężnych (art. 50 ust. 2), bank może przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie.

PROFILOWANIE – PODSTAWA PRAWNA

Art. 105a ust.1 Profilowanie może być wykorzystywane: 1) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego 2) do celów statystycznych i analiz- sprawozdawczość Art. 106d ust. 1 Banki mogą dokonywać profilowania i wzajemnego udostępniania informacji, w przypadkach: uzasadnionych podejrzeń, przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw Platforma Antyfraudowa

PROFILOWANIE – PODSTAWA PRAWNA

DANE BIOMETRYCZNE

Art. 112b

ust.1 i 2: Banki mogą przetwarzać dla celów prowadzonej działalności bankowej dane biometryczne w celu zidentyfikowania lub weryfikacji tożsamości osoby fizycznej, a także uwierzytelnienia czynności dokonywanej przez osobę fizyczną.

Dodano ust. 3: Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób przetwarzania danych biometrycznych, uwzględniając zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń.

NOWY Art. 112e

ust.1. Banki nie są obowiązane do:

1) wykonywania obowiązków informacyjnych dotyczących profilowania w przypadku przetwarzania danych osobowych, na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;

2) zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli takie zawiadomienie może spowodować naruszenie stabilności funkcjonowania sektora bankowego;

3) udzielania informacji i prowadzenia komunikacji częściej niż raz na 3 miesiące; w przypadku żądania częściej niż raz na 3 miesiące, bank jest uprawniony do pobrania opłaty.

Informacja jest kompletna

i wiarygodna

Zapewnienie ciągłości dostępu do informacji

Informacja jest dostępna tylko tym użytkownikom,

którzy otrzymali odpowiednie uprawnienia

POUFNOŚĆ

INTEGRALNOŚĆ

DOSTĘPNOŚĆ

BEZPIECZEŃSTWO INFORMACJI

OBOWIĄZKI ADMINISTRATORÓW DANYCH

ZASADA RZETELNOŚCI I PRAWIDŁOWOŚCI ZASADA PRZEJRZYSTOŚCI ZASADA OGRANICZENIA CELU PRZETWARZANIA ZASADA MINIMALIZACJI DANYCH ZASADA OGRANICZENIA PRZECHOWANIA DANYCH ZASADA ROZLICZALNOŚCI

ART. 5 RODO

WZMOCNIENIE ROLI ZASAD PRZETWARZANIA DANYCH OSOBOWYCH

Przesłanki przetwarzania danych art. 6. RODO

ZGODA w jednym lub większej liczbie określonych celów

niezbędne do wypełnienia obowiązku prawnego

konieczne do realizacji umowy lub podjęcia działań przed zawarcie umowy

niezbędne do ochrony żywotnych interesów osoby

zadania realizowane w interesie publicznym

zapewnienie bezpieczeństwa depozytów, stabilność sektora finansowego

niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych

Jak przetwarzać dane legalnie?

5 FILARÓW PRZETWARZANIA DANYCH OSOBOWYCH

legalność/przejrzystość przetwarzania danych

świadomość osób przetwarzających dane osobowe

zabezpieczenia techniczne i organizacyjne

obowiązki notyfikacyjne (incydenty, IOD)

obowiązki informacyjne i prawa przysługujące osobom,

których dane przetwarzamy

ZMIANA PODEJŚCIA DO SYSTEMU ZARZĄDZANIA OCHRONĄ INFORMACJI Art.24 RODO

Polityki ochrony danych Zasada proporcjonalności

ROZLICZALNOŚĆ

ŚRODKI TECHNICZNE I ORGANIZACYJNE

Regularne przeglądy i aktualizacja

stan wiedzy technicznej,

koszt wdrożenia

DANE:

charakter

zakres

kontekst

cele

ryzyko naruszenia praw lub wolności

osób fizycznych

OBOWIĄZKI ADMINISTRATORÓW DANYCH

Ocena skutków dla ochrony danych (Art. 35 RODO)

obowiązek w odniesieniu do operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych

KIEDY? • Przetwarzanie w celu podjęcia decyzji wobec konkretnej osoby fizycznej

na podstawie profilowania;

• przy przetworzeniu szczególnych kategorii danych osobowych, w tym danych biometrycznych oraz danych dotyczących wyroków skazujących i naruszeń prawa;

• w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ocena zdolności kredytowej;

Przetwarzanie danych biometrycznych klientów lub pracowników w celu

identyfikacji lub weryfikacji osoby w systemach kontroli dostępu;

Systemy kontroli czasu pracy;

Systemy kontroli wejścia do określonych pomieszczeń;

Systemy rozliczeniowo-ewidencyjne operacji bankowych;

Systemy sprawdzania klientów w bazach informacji kredytowej;

Systemy monitorowania czasu pracy oraz przepływu informacji

w wykorzystywanych przez pracowników narzędziach (np. poczcie

elektronicznej, Internecie);

Systemy profilowania klientów pod kątem zidentyfikowania preferencji

zakupowych.

Prezes Urzędu opracowuje i udostępnia w BIP rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych

Zatwierdzone Kodeksy Dobrych Praktyk

Opinie Grupy Roboczej art 29

ISO

Standardy, dobre praktyki…

JAK???

• Zaangażowanie wszystkich jednostek i komórek organizacyjnych

Banku przetwarzających dane osobowe

• Współpraca i sprawny przepływ informacji pomiędzy poszczególnymi

zespołami a IOD

• Świadomość pracowników bezpośredniej obsługi klienta

STRUKTURA ORGANIZACYJNA

A ZARZĄDZANIE I NADZOR NAD OCHRONĄ DANYCH

ROZLICZALNOŚĆ

Kierownik jednostki/komórki organizacyjnej

• Kontrola wprowadzanych danych

• Zgłaszanie zmian w zakresie i sposobie przetwarzania danych osobowych

• Przeprowadzanie wstępnej analizy ryzyka naruszenia praw lub wolności

osób fizycznych

• Bieżący nadzór nad zbiorem danych osobowych (okres przechowywania)

• Zapewnienie ochrony przetwarzanych danych osobowych przed

dostępem osób nieuprawnionych zgodnie z obowiązującymi procedurami

• Zmiany w regulacjach/wnioskach/umowach (np. dot. obowiązków

informacyjnych)

IDO

PRACOWNICY

Obowiązek informacyjny – sposoby, zakres przekazywanych informacji, odstępstwa

Zgody na przetwarzanie danych

Żądania Klientów – realizacja praw klientów

Zakres danych

Zgłaszanie incydentów

Zgłoszenie do IOD :

Naruszenia ochrony danych osobowych/podejrzenia takiego naruszenia;

Otrzymanie od klienta wniosku o:

• udzielenie informacji,

• żądania zaprzestania lub ograniczenia przetwarzania danych,

• sprzeciwu wobec przetwarzania danych,

• przeniesienie danych osobowych.

Zabezpieczenia techniczne i organizacyjne

• pseudonimizacja i szyfrowanie danych osobowych;

• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

• zdolność do szybkiego przywrócenia dostępności danych osobowych

i dostępu do nich w razie incydentu fizycznego lub technicznego; • regularne testowanie, mierzenie i ocenianie skuteczności środków

technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania

Art. 32. ust. 1. RODO

• ustalenie procedur bezpieczeństwa i ich przestrzeganie • obowiązek prowadzenia rejestru czynności przetwarzania danych • "czynnik ludzki"- odpowiedzialność i właściwe przeszkolenie pracowników • system kontroli wewnętrznej, raportowanie wycieków danych

BEZPIECZEŃSTWO OSOBOWO - ORGANIZACYJNE

• bezpieczeństwo i nadzór systemów informatycznych, kontrola dostępu • privacy by design • ciągłość działania - backup • monitoring zabezpieczeń, audyt IT

BEZPIECZEŃSTWO INFORMATYCZNE

• zabezpieczenie pomieszczeń i budynków • zabezpieczenie dokumentacji papierowej • kontrola dostępu do pomieszczeń

BEZPIECZEŃSTWO FIZYCZNE

CYBERBEZPIECZEŃSTWO

Raport PwC za rok 2017 • 44% polskich przedsiębiorstw poniosło

straty finansowe • 62% odnotowało zakłócenia i przestoje w

funkcjonowaniu Najczęstsze źródło ataków • 33% pracownicy • 28% hakerzy • 13% byli pracownicy


Bagatelizowanie cyberbezpieczeństwa może doprowadzić np. do:

• zakłóceń w kursowaniu pociągów

• chaosu na lotnisku

• wstrzymania wypłat pieniędzy z bankomatów

Najbardziej zagrożone sektory gospodarki:

• energetyka

• FINANSE - B A N K I

• telekomunikacja


Rodzaje ataków: • DDoS - (ang. Distributed Denial of Service – generowanie dużej

ilości sztucznego ruchu tak, aby zablokować działanie urządzenia/usługi)

• DLP - (ang. Data Leak Protection, ochrona przed wyciekiem danych)

• Ochrona przed atakami MALWARE - (ang. Malware – złośliwy, złowrogi – termin obejmujący wszelkiego rodzaju złośliwe oprogramowanie lub skrypty, które są szkodliwe dla systemów informatycznych)

• Keyloggers - (ang. keyloggers) – odczytują i zapisują wszystkie naciśnięcia klawiszy użytkownika. W ten sposób adresy, kody i inne poufne dane mogą dostać się w niepowołane ręce.

• Inne


Najsłabszym ogniwem bezpieczeństwa w firmie

są pracujący w niej ludzie:

• niewiedza

• niewinny mail do pracownika

• znaleziony klucz USB

• szantaż

• potrzeby finansowe


DZIAŁANIA ZAPOBIEGAWCZE

PRACOWNIK

• nieotwieranie załączników pocztowych niewiadomego pochodzenia

• wyłączanie makr w plikach MS Office nieznanego pochodzenia

• zasada czystego biurka

• zasada czystego ekranu

• zasada tajemnicy bankowej

• zasada nieufności

• zasada spostrzegawczości


DZIAŁANIA ZAPOBIEGAWCZE

FIRMA

• procedury bezpieczeństwa

• szkolenia dla personelu

• testy bezpieczeństwa (firma zewnętrzna)

• audyty bezpieczeństwa (firma zewnętrzna)

• DLP – ochrona przed wyciekiem danych

• EDR – ochrona serwerów i komputerów

• Managed Firewall – zapora bezpieczeństwa

• ochrona aplikacji on-line szczególnie tam, gdzie zbierane są dane osobowe


DZIAŁANIA ZAPOBIEGAWCZE DZIAŁ IT

• przy płatnościach drogą elektroniczną upewnienie się, że transmisja danych będzie szyfrowana (banking mode)

• używanie oryginalnego systemu i aplikacji pochodzących z legalnego źródła

• włączona zapora sieciowa z modułem HIPS, która zapobiega uruchamianiu zagrożeń typu „zero day”

• stałe aktualizowanie oprogramowania • czytanie okien instalacyjnych aplikacji oraz ich licencji • regularne skanowanie systemu programem antywirusowym i skanerami

wykrywającymi szkodliwe oprogramowanie • instalacja programów prewencyjnych (wykrywania i zapobiegania

włamaniom) • instalacja oprogramowania antywirusowego

OBOWIĄZEK REJESTROWANIA CZYNNOŚCI PRZETWARZANIA

Podstawowe funkcje obowiązku prowadzenia rejestru: 1. Zachowanie przez administratora i podmiot przetwarzający

zgodności z RODO

2. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania

ZESPÓŁ POWIĄZANYCH ZE SOBĄ OPERACJI NA DANYCH, WYKONYWANYCH PRZEZ

JEDNĄ LUB KILKA OSÓB, KTÓRE MOŻNA OKREŚLIĆ W SPOSÓB ZBIORCZY,

W ZWIĄZKU Z CELEM, W JAKIM TE CZYNNOŚCI SĄ PODEJMOWANE.

Art. 30 RODO

art. 30 ust. 5 RODO, obowiązek prowadzania rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że czynności przetwarzania, które wykonują:

1) mogą powodować ryzyko naruszenia praw lub wolności osób, których

dane dotyczą,

2) nie mają charakteru sporadycznego lub obejmują szczególne kategorie

danych osobowych,

3) dotyczą wyroków skazujących i naruszeń prawa.

Dokumentacja powinna zawierać informacje na temat: • Administratora danych, inspektora ochrony danych osobowych,

a także wszystkich osób będących odbiorcami danych;

• Celu dokonywanych procesów;

• Kategorii danych osobowych i podmiotów objętych przetwarzaniem;

• Okresów przechowywania danych;

• Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

ZAKRES INFORMACJI W REJESTRACH CZYNNOŚCI PRZETWARZANIA DANYCH

Nazwa współadministratora

i dane kontaktowe (jeśli dotyczy)

Nazwa podmiotu przetwarzajacego

i dane kontakowe

(jeśli dotyczy)

Kategorie odbiorców (innych niż podmiot

przetwarzajacy)

Nazwa systemu lub

oprogramowania

Ogólny opis technicznych i organizacyjnych srodków bezpieczeństwa zgodnie z

art. 32 ust. 1 (jeżeli jest to możliwe)

DPIA (jeśli tak, lokalizacja

raportu)

Transfer do kraju trzeciego lub org. międzynarodowej

Transfer do kraju trzeciego lub organizacji

międzynarodowej (nazwa kraju i

podmiotu)

Jeśli transfer i art. 49 ust. 1 akapit

drugi - dokumentacja odpowiednich zabezpieczeń

Art.. 30 ust. 1 pkt a Art.. 30 ust. 1 pkt

d Art.. 30 ust. 1

pkt d Art.. 30 ust. 1 pkt g Art. 30 ust. 1 pkt e Art. 30 ust. 1 pkt e

Nie dotyczy Nie dotyczy Dane nie są przekazywane innym podmiotom

System Kadry. Dokumentacja papierowa.

Zamykane szafy w pomieszczeniach zamykanych, dostępnych tylko dla upoważnionych osób. Kontrola dostępu do systemu informatycznego, dostęp tylko dla osób upoważnionych.

Brak - DPIA nie jest wymagane

Nie dotyczy Nie dotyczy

LP. Nazwa czynności

przetwarzania

Jednostka organizacyjna (departament,

dział itp.)

Cel przetwarzania Kategorie osób Kategorie danych Podstawa

prawna Źródło danych

Planowany termin usunięcia

kategorii danych (jeżeli jest to możliwe)

Art.. 30 ust. 1 pkt

b Art.. 30 ust. 1

pkt c Art.. 30 ust. 1 pkt c Art.. 30 ust. 1 pkt f

1.

Rekrutacja pracowników

Dyrektor Rekrutacja pracowników

Kandydaci do pracy

Dane identyfikacyjne, dane adresowe, dane o wykształceniu, stażu pracy, uprawnieniach zawodowych.

Zgoda osób, których dane dotyczą

Kandydaci do pracy

Po zakończeniu procesu rekrutacyjnego

LP. Nazwa czynności

przetwarzania Jednostka organizacyjna (departament, dział itp.)

Cel przetwarzania Kategorie osób Kategorie danych

Art. 30 ust. 1 pkt b Art. 30 ust. 1 pkt c Art. 30 ust. 1 pkt c

1.

UDZIELANIE KREDYTÓW

1. Oddziały 2. Analitycy Kredytowi 3. Dział Weryfikacji Kredytowych 4. Dział Decyzji Kredytowych

Wykonywanie czynności bankowych zmierzających do zawarcia oraz związanych z wykonaniem umów kredytowych

1. Klienci 2. Poręczyciele 3. Osoby dające zabezpieczenie inne niż poręczyciele

1. Klient - dane identyfikacyjne, dane adresowe, dane kontaktowe, dane o sytuacji ekonomiczno-finansowej, dane o zobowiązaniach, dane o wielkości gospodarstwa domowego 2. Poręczyciele - dane identyfikacyjne, dane adresowe, dane o sytuacji ekonomiczno-finansowej, dane o dotychczasowych zobowiązaniach kredytowych 3. Osoby dające zabezpieczenie inne niż poręczyciele – dane identyfikacyjne, dane adresowe, dane o sytuacji ekonomiczno-finansowej, dane o dotychczasowych zobowiązaniach kredytowych

Podstawa prawna Źródło danych Planowany termin usunięcia

kategorii danych (jeżeli jest to możliwe)

Art. 30 ust. 1 pkt f

1. Klient - Przetwarzanie niezbędne do zawarcia i wykonania umowy art. 6 ust. 1 lit. b RODO

- Osoba, której dane dotyczą wyraziła zgodę - zgoda na zapytania do biur informacji gospodarczej - art. 6 ust. 1 lit. a RODO 2. Poręczyciele - Przetwarzanie niezbędne do zawarcia umowy, a także do wykonania umowy - art. 6 ust. 1 lit. b RODO 3. Osoby dające zabezpieczenie inne niż poręczyciele - Przetwarzanie niezbędne do zawarcia umowy, a także do wykonania umowy - art. 6 ust. 1 lit. b RODO

1. Klient 2. Poręczyciel 3. Osoby dające zabezpieczenie inne niż poręczyciele

Po odwołaniu zgody klienta (art. 105a ust. 2) Prawa bankowego) lub po 10 latach od wygaśnięcia zobowiązania z umów - na podstawie prawnie uzasadnionych interesów realizowanych przez Bank, z wyjątkiem stwierdzenia sytuacji nadrzędności interesu lub podstawowych praw i wolności osoby, której dane dotyczą (art. 6 ust. 1 lit. f RODO)

Nazwa współadministratora

i dane kontaktowe (jeśli dotyczy)

Nazwa podmiotu przetwarzajacego i dane kontakowe

(jeśli dotyczy)

Kategorie odbiorców (innych niż podmiot

przetwarzajacy)

Nazwa systemu lub

oprogramowania

Ogólny opis technicznych i organizacyjnych srodków

bezpieczeństwa zgodnie z art. 32 ust. 1

(jeżeli jest to możliwe)

DPIA (jeśli tak, lokalizacja

raportu)

Transfer do kraju trzeciego lub org. międzynarodowej

Transfer do kraju trzeciego lub organizacji

międzynarodowej (nazwa kraju i

podmiotu)

Jeśli transfer i art. 49 ust. 1 akapit

drugi - dokumentacja odpowiednich zabezpieczeń

Art. 30 ust. 1 pkt a Art. 30 ust. 1 pkt d Art. 30 ust. 1 pkt d Art.. 30 ust. 1 pkt g Art. 30 ust. 1 pkt e Art. 30 ust. 1 pkt e

Nie dotyczy

SoftNet

Biuro Informacji Kredytowej Biura Informacji gospodarczej Inne banki i nstytucje kredytowe Inne uprawnione podmioty wymienione w przepisach prawa

EUROBANK

1. Zamykane szafy w pomieszczeniach zamykanych, dostępnych tylko dla upoważnionych osób. 2. Kontrola dostępu do systemu informatycznego, dostęp tylko dla osób upoważnionych. 3. Ochrona fizyczna obiektów poza godzinami pracy

TAK Nie dotyczy

Nie dotyczy

zwięzła, przejrzysta, zrozumiała i łatwo dostępna forma

jasny i prosty język

standardowe znaki graficzne

wolne od opłat

BRAK- ciężkie

naruszenie ochrony

danych osobowych (art.83 ust.5)

adres siedziby i nazwa administratora

cel zbierania danych

prawo dostępu do swoich danych oraz ich poprawiania

prawo do wniesienia sprzeciwu

dobrowolność albo obowiązek podania swoich danych

informacje o odbiorcach lub kategoriach odbiorców

NOWE OBOWIĄZKI INFORMACYJNE

Katalog informacji - nowości

• Dane kontaktowe IOD

• Podstawa prawna przetwarzania

• Prawnie uzasadniony interes realizowany przez administratora

• Okres przez jaki dane będą przechowywane

• Prawo do przenoszenia danych

• Cofnięcie zgody w dowolnym momencie

• Wniesienie skargi do organu nadzorczego

• Informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu – zasadach ich podejmowania oraz znaczeniu i przewidywanych konsekwencjach dla praw i wolności osoby

Klauzule informacyjne

NOWE OBOWIĄZKI INFORMACYJNE

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

KLIENCI BANKU

ART.15 - 22 RODO

OBOWIĄZKI INFORMACYJNE

PRAWO DOSTĘPU

PRAWO DO SPROSTOWANIA

PRAWO DO BYCIA ZAPOMNIANYM

PRAWO DO OGRANICZENIA PRZETWARZANIA

PRAWO DO PRZENOSZENIA DANYCH

PRAWO DO SPRZECIWU

Administrator dostarcza kopię danych osobowych podlegających przetwarzaniu

Za wszelkie kolejne kopie administrator może pobrać opłatę

Administrator powinien mieć możliwość udzielania zdalnego

dostępu do danych osobowych Administrator zapewnia weryfikację tożsamości

żądającej dostępu osoby

PRAWO DOSTĘPU

Dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, przesłane innemu administratorowi jeżeli:

przetwarzanie odbywa się na podstawie zgody lub

na podstawie umowy przetwarzanie odbywa się w sposób zautomatyzowany

Art. 20 RODO (…) 2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. (…)

PRAWO DO PRZENOSZENIA DANYCH

W PRZYPADKU BANKÓW- OGRANICZONE

prawo żądania niezwłocznego usunięcia danych osobowych- w następujących przypadkach: dane osobowe nie są już niezbędne do celów, w których zostały zebrane;

cofnięcia zgody, na której opiera się przetwarzanie i nie ma innej podstawy

prawnej przetwarzania;

wniesienia sprzeciwu wobec przetwarzania;

dane osobowe były przetwarzane niezgodnie z prawem;


Nie ma zastosowania:

do korzystania z prawa do wolności wypowiedzi i informacji; do wywiązania się z prawnego obowiązku wymagającego

przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator;

do celów archiwalnych w interesie publicznym, do celów badań

naukowych lub historycznych lub do celów statystycznych; do ustalenia, dochodzenia lub obrony roszczeń.


ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH

ADMINISTRATOR

DANYCH

BEZ ZBĘDNEJ ZWŁOKI 72H – PO STWIERDZENIU NARUSZENIA

ORGAN NADZORU

BRAK OBOWIĄZKU ZGŁOSZENIA INCYDENTU JEŚLI …jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

TREŚĆ ZGŁOSZENIA Zgłoszenie musi co najmniej:

• opisywać charakter naruszenia ochrony danych osobowych, w tym wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą,

• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony

danych

• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych

• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków

NOWE UPRAWNIENIA ORGANU NADZORCZEGO

• Uprawnienie do nakładania administracyjnych kar pieniężnych

• Przyjmowanie zawiadomień o naruszeniu ochrony danych od ADO

• Opiniowanie, zatwierdzanie i publikowanie kodeksów postępowania

• Udzielanie pisemnych zaleceń w ramach ocen skutków dla ochrony danych

• Większa niż dotychczas współpraca z IOD (obecnymi ABI)

• Międzynarodowa współpraca administracyjna

• Udział w Europejskiej Radzie Ochrony

Plan kontroli Reakcja na tzw. Donos W toku postępowania w sprawie naruszenia przepisów

o ochronie danych osobowych

Odpowiedzialność cywilna karna administracyjne kary pieniężne

każda z tych dróg może zostać wykorzystana niezależnie - naruszenie będzie mogło być karane trzykrotnie

URZĄD OCHRONY DANYCH OSOBOWYCH Rada do spraw Ochrony Danych Osobowych

Kontrolujący może:

• Udzielić upomnienia w przypadku naruszenia przepisów;

• Nakazać dostosowanie operacji przetwarzania do przepisów RODO;

• Żądać wszczęcia wobec pracownika postępowania przewidzianego prawem

w przypadku dopuszczenia do uchybień;

• Zastosować administracyjną karę pieniężną (art. 83);

• Wydać postanowienie zabezpieczające - ograniczenie przetwarzania

danych (art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1).

KONTROLA - ADMINISTRATORZY DANYCH I PODMIOTY PRZETWARZAJĄCE

• Brak uwzględnienia ochrony danych w fazie projektowania • Brak umowy powierzenia przetwarzania danych osobowych • Brak rejestru czynności przetwarzania danych osobowych • Niezgłoszenie incydentu naruszenia bezpieczeństwa

przetwarzania danych osobowych • Naruszenie zasad bezpieczeństwa • Niedopełnienie obowiązku informacyjnego • Naruszenie warunków wyrażenia zgody

na przetwarzanie danych • Łączenie zgód na przetwarzanie danych • Brak podstawy prawnej przetwarzania danych

ODPOWIEDZIALNOŚĆ

ADMINISTRACYJNE KARY PIENIĘŻNE

Art. 83 RODO Charakter, waga i czas trwania naruszenia

10 milionów euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

20 milionów euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

podmioty publiczne, administracyjne kary pieniężne w wysokości do 100 000 zł

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności (…), jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. (art. 82 ust. 3)

Rejestr czynności Rejestr (dokumentacja) incydentów Upoważnienia Polityki i strategie bezpieczeństwa Procedury (incydenty/przenoszenie

danych/prawo do bycia zapomnianym itp.) Wyznaczenie IOD Ocena skutków przetwarzania Inne dokumenty

GIODO

ADO

2016 W LICZBACH

ANALIZA PROBLEMÓW SEKTORA BANKOWEGO

DOTYCHCZASOWE KONTROLE I SPRAWDZENIA

Kontrola w wybranych obszarach/Wystąpienia o dokonanie sprawdzeń

WYKRYTE NIEPRAWIDŁOWOŚCI: • Niewłaściwe dopełnienie obowiązku informacyjnego • Niezgłoszenie zbiorów • Zbieranie danych w szerszym zakresie • Zbieranie danych nieadekwatnych do celu przetwarzania • Nieprawidłowe klauzule zgód marketingowych /łączenie zgód • Uchybienia w procesie przetwarzania danych przy użyciu systemów

informatycznych • Brak podstawy prawnej przetwarzania danych • Niepełna wiedza ABI w zakresie ochrony danych PRZYCZYNY: • Błędna interpretacja przepisów • Niekonsekwencja w stosowaniu procedur i przepisów • Brak środków finansowych

SKARGI NARUSZENIA PRZEPISÓW O OCHRONIE DANYCH

Służba zdrowia

Sprawy pracownicze

Administracja publiczna

Działalność marketingowa

Banki

Instytucje finansowe

SKARGI GŁÓWNE PROBLEMY BANKÓW W 2016 ROKU

• Podstawy prawne/Zakres pozyskiwanych danych

• Przetwarzanie danych dla celów marketingowych pomimo wyrażonego

sprzeciwu

• Opóźnienia w spełnieniu obowiązku informacyjnego

• Udostępnianie danych BIK (realizacja art. 105a ust.3 Prawa bankowego)

Aktualizacja danych osobowych – windykacja

• Środki komunikacji elektronicznej – poprawność danych kontaktowych

niewłaściwe zabezpieczenie pomieszczeń,

urządzeń lub dokumentów

niepoprawne zabezpieczenie sprzętu komputerowego oraz oprogramowania

nieprzestrzeganie zasad ochrony danych

przez pracowników

TOP 3 ZAGROŻEŃ

INCYDENTY BEZPIECZEŃSTWA INFORMACJI

o naruszenie poufności danych;

o próby ominięcia systemu zabezpieczeń;

o skażenie systemu szkodliwym oprogramowaniem

(także nośników);

o próby wyłudzenia informacji zawierających dane

(phishing lub skimming);

o łamanie wewnętrznych ustaleń, regulacji i przepisów w firmie

(dotyczących firmy i klientów).

Incydenty ODO - obszary krytyczne

Poczta elektroniczna

Nośniki danych

Udostępnienie danych

Usuwanie danych

Cyberatak na skalę globalną

Ponad 200 tysięcy komputerów w ponad 150 krajach Szpitale, sieci telefoniczne, firmy usługowe….

WannaCry oprogramowanie typu ransomware

• wykorzystuje lukę w zabezpieczeniach

systemu Windows

• rozprzestrzenia się przez sieć

• blokada dostępu do plików na komputerze

• okup w kryptowalucie bitcoin.

ATAKI Z WYKORZYSTANIEM RANSOMWARE kwartalny wzrost liczby ataków w 2016r.

Źródło: Quartz, Engadget, Guardian, BBC, MalwareHunterTeam.

Dziękujemy za uwagę

użytkownicy systemu informatycznego są odpowiedzialni za wszelkie działania z użyciem ich identyfikatora oraz hasła;

zabronione jest korzystanie z kont: administrator oraz z konta innego użytkownika;

udostępnienie hasła postronnej osobie jest incydentem naruszenia ochrony danych osobowych;

w przypadku opuszczania stanowiska pracy należy zastosować

systemową blokadę komputera;

Zasady bezpieczeństwa informacji

przy wysyłaniu informacji drogą elektroniczną konieczne jest dokładne zweryfikowanie adresata oraz treści przesyłanych dokumentów;

nie należy przesyłać informacji służbowych z wykorzystaniem prywatnych nośników oraz wykorzystywać służbowych urządzeń (tj. komputerów, laptopów, telefonów) do prywatnych celów;

w przypadku wykrycia naruszenia bezpieczeństwa danych osobowych bądź podejrzenia naruszenia bezpieczeństwa danych osobowych należy niezwłocznie poinformować osoby odpowiedzialne za bezpieczeństwo danych osobowych;


zasada czystego biurka/czystego ekranu;

prawidłowe ustawienie monitorów;

niszczenie dokumentów w sposób uniemożliwiający

odtworzenie treści;

osoby nieupoważnione zawsze „pod nadzorem”;

oprogramowanie instaluje tylko i wyłącznie administrator IT;

nośniki elektroniczne poza miejscem pracy zabezpiecza się

za pomocą środków kryptograficznych;


Anna Stręk

[email protected] Audytor Wiodący SZBI, Członek IIA Polska

tel. 781555025

Ewa Niesiołowska


tel. 698635051

Andrzej Popiołek


tel. 602 220 749

NASI AUDYTORZY

www.zadbajobezpieczenstwo.pl

http://www.zadbajobezpieczenstwo.pl/

Nota prawna

1) Niniejszy materiał przeznaczony jest wyłącznie do wglądu dla uczestników szkolenia –

Zarządu i pracowników Banku.

2) Wszystkie zamieszczone materiały są chronione prawami autorskimi.

3) Niniejszy materiał ani żaden jego fragment nie może być reprodukowany, przetwarzany i rozpowszechniany

w jakikolwiek sposób za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających

i innych.

4) Zabronione jest rozpowszechnianie opracowań materiałów, powielanie lub rozpowszechnianie szaty

graficznej lub jej elementów niezależnie od przyczyn lub celu takiego rozpowszechniania.

5) Dozwolone jest: ładowanie, wyświetlanie, kopiowanie przedmiotowych materiałów wyłącznie przez

uczestników szkolenia – Zarządu i pracowników Banku- w zakresie dozwolonego użytku osobistego (nie

komercyjnego), pod warunkiem, że materiały nie są modyfikowane i sposób ich wykorzystania nie narusza

osobistych praw autorskich.

6) Wszelkie naruszenia praw autorskich podlegają sankcjom przewidzianym w Kodeksie karnym i ustawie

o prawie autorskim i prawach pokrewnych.

NOWE ZASADY OCHRONY DANYCH OSOBOWYCH€¦ · nowe obowiĄzki administratorÓw danych 5....

Documents

Transcript of NOWE ZASADY OCHRONY DANYCH OSOBOWYCH€¦ · nowe obowiĄzki administratorÓw danych 5....