ulotka_outsourcing dla banków - Instytut Ochrony Danych Osobowych

outsourcing funkcji administratora bezpieczeństwa informacji * obowiązkowe audyty ochrony danych osobowych * tworzenie lub konsultowanie polityk, procedur
i dokumentacji ochrony danych * obowiązkowe szkolenia w zakresie ochrony danych osobowych * bieżące doradztwo w zakresie ochrony danych osobowych
_________________________________________________________________________________________________________________________________________________________
GIODO potwierdza, że outsourcing tej funkcji jest
dopuszczalny. Może ją pełnić tylko osoba fizyczna,
ale
niekoniecznie
będąca
pracownikiem
administratora danych.
(http://www.giodo.gov.pl/317/id_art/2259/j/pl/
dr Mariusz Krzysztofek
Od 1 stycznia 2015 r. wiele banków obawia się
problemów organizacyjnych wynikających z
powołania administratora bezpieczeństwa informacji
(ABI). Obawy wynikają z obowiązku wykazania
odpowiednich kwalifikacji kandydata na to
stanowisko, a więc np. skierowania go na studia
podyplomowe. Problemem może być też
zapewnienie organizacyjnej odrębności ABI
w ramach instytucji, czego również wymaga ustawa.
Zgodnie z nadchodzącą reformą w przyszłości
powołanie ABI ponownie będzie obligatoryjne.
Ustawa wymaga, aby ABI posiadał odpowiednią
wiedzę w zakresie ochrony danych osobowych.
 Zdobyłem unikalne doświadczenie zawodowe
i wykształcenie w dziedzinie ochrony danych
osobowych w bankach, które wyróżnia mnie na
rynku.
Byłem administratorem bezpieczeństwa informacji w
wielu
instytucjach
od
1998
r.,
a więc od wejścia w życie ustawy o ochronie danych
osobowych. M.in. jako ABI Banku BPS, BNP
Paribas Polska, a także zagranicą jako Data
Protection Coordination Officer w Brukseli oraz
Head of Compliance & Regulatory dla polskiego
oddziału jednej z największych międzynarodowych
grup finansowych.
Jednak na bankach, które nie powołają teraz ABI, i
tak ciążą wszystkie obowiązki ustawowe (art. 36b
ustawy). Kto w Banku będzie dysponował
doświadczeniem wystarczającym do spełnienia tych
obowiązków,
bardziej
wymagających
niż
dotychczas? Kto weźmie na siebie odpowiedzialność
prawną za ich wykonanie?
Rozwiązaniem może być outsourcing funkcji
administratora
bezpieczeństwa
informacji,
wszystkich lub wybranych, np. obowiązkowych od
2015 r. audytów i szkoleń
Odznaczenie za działalność edukacyjną na rzecz
banków przyznane mi przez Związek Banków
Polskich
Wśród podmiotów, z którymi współpracowałem,
znajdują przede wszystkim banki oraz inne
instytucje finansowe. Ponadto firmy z wielu
innych sektorów, polskie i zagraniczne:
informatyczne, paliwowe, pocztowe, a także
uczelnie wyższe oraz organy państwowe: sądy,
Ministerstwo Sprawiedliwości, czy Komisja
Nadzoru Finansowego. Łącznie to ponad 100
instytucji, wiele kilkakrotnie.
Książki mojego autorstwa – najnowsza to
„Tajemnice zawodowe i ochrona danych osobowych
w instytucjach finansowych”, Wolters Kluwer 2015
_________________________________________________________________________________________________________________________________________________________
dr Mariusz Krzysztofek, Instytut Ochrony Danych Osobowych, tel.: 501 740 429, e-mail: [email protected], www.instytutprawa.pl
outsourcing funkcji administratora bezpieczeństwa informacji * obowiązkowe audyty ochrony danych osobowych * tworzenie lub konsultowanie polityk, procedur
i dokumentacji ochrony danych * obowiązkowe szkolenia w zakresie ochrony danych osobowych * bieżące doradztwo w zakresie ochrony danych osobowych
_________________________________________________________________________________________________________________________________________________________
Proponuję
Państwu
powierzenie
mi
obowiązków administratora bezpieczeństwa
informacji w Państwa Banku. To forma, która
umożliwi zapewnienie zgodności z prawem w
tym obszarze, bez konieczności spełniania
skomplikowanych wymagań dotyczących
tego stanowiska i bez etatu.
Podejmę się pełnienia tej funkcji w całości lub
w wybranym przez Państwa zakresie.
Wykonam obowiązki Banku takie, jak:
 obowiązkowe okresowe audyty ochrony
danych, które wymagają udokumentowania
i sprawozdania dla Zarządu Banku
Od 1 stycznia 2015 r. należy przeprowadzić co
najmniej jeden planowy audyt ochrony danych
rocznie.
Ponadto
audyt
doraźny
w
przypadku
podejrzenia
naruszenia.
Rozporządzenie Ministra Administracji i
Cyfryzacji określa zakres tej obowiązkowej
weryfikacji
i sprawozdania. Przeprowadziłem wiele
audytów ochrony danych osobowych w
instytucjach finansowych.
 obowiązkową dokumentację przetwarzania
danych (polityki, instrukcje)
 zapewnienie prawidłowości prowadzenie
marketingu
 opracowanie klauzul zgody i klauzul
informacyjnych
 rejestrację zbiorów danych
 upoważnienia
dla
pracowników
i ewidencję osób upoważnionych
 nadzór nad zasadami adekwatności danych,
ograniczenia
czasowego
i innymi
 zapewnienie prawidłowości zabezpieczeń
danych osobowych
 zapewnienie
zgodności
umowom
outsourcingu, opiniowanie takich umów
 doraźne opiniowanie i pomoc w razie
wątpliwości lub problemów dotyczących
ochrony
danych
i tajemnicy bankowej
 opiniowanie udzielania uprawnionym
organom informacji o klientach zgodnie z
przepisami o tajemnicy bankowej
 reprezentowanie Banku przed GIODO (w
tym korespondencja), KNF i audytorami, w
razie skargi klienta lub audytu
 help desk – pomoc (e-mailowo lub
telefoniczne) w razie wątpliwości lub
problemów dotyczących ochrony danych
osobowych i tajemnicy bankowej, np.
określoną liczbę odpowiedzi na bieżące
pytania dotyczące ujawniania tajemnicy
bankowej na wniosek uprawnionych
organów, czy skarg klientów
Należy również pamiętać o nadchodzącej
reformie ochrony danych osobowych, która
zostanie uchwalona w 2016 r. Wprowadzi wiele
nowych obowiązków. Będzie wymagała analiz
i dostosowania działalności.
Jedno z moich wystąpień w TV na temat ochrony
informacji w bankach
Stopień doktora nauk prawnych uzyskałem właśnie
w dziedzinie ochrony danych osobowych.
Outsourcing funkcji ABI - warto, ponieważ:
 skomplikowane obowiązki wymagają
doświadczenia i wykształcenia w tej
dziedzinie, które posiadam,
 znam i współpracuję z bankami od wielu lat,
 Bank uwalnia się od problemów związanych
z wyznaczaniem ABI wśród pracowników,
 obowiązki z ustawy ciążą na Banku również
gdy nie powoła ABI,
 w przyszłości powołanie ABI ponownie ma
być obowiązkowe.
Outsourcing funkcji ABI rozwiązuje te problemy.
_________________________________________________________________________________________________________________________________________________________
dr Mariusz Krzysztofek, Instytut Ochrony Danych Osobowych, tel.: 501 740 429, e-mail: [email protected], www.instytutprawa.pl