ulotka_outsourcing dla banków - Instytut Ochrony Danych Osobowych
Transkrypt
ulotka_outsourcing dla banków - Instytut Ochrony Danych Osobowych
outsourcing funkcji administratora bezpieczeństwa informacji * obowiązkowe audyty ochrony danych osobowych * tworzenie lub konsultowanie polityk, procedur i dokumentacji ochrony danych * obowiązkowe szkolenia w zakresie ochrony danych osobowych * bieżące doradztwo w zakresie ochrony danych osobowych _________________________________________________________________________________________________________________________________________________________ GIODO potwierdza, że outsourcing tej funkcji jest dopuszczalny. Może ją pełnić tylko osoba fizyczna, ale niekoniecznie będąca pracownikiem administratora danych. (http://www.giodo.gov.pl/317/id_art/2259/j/pl/ dr Mariusz Krzysztofek Od 1 stycznia 2015 r. wiele banków obawia się problemów organizacyjnych wynikających z powołania administratora bezpieczeństwa informacji (ABI). Obawy wynikają z obowiązku wykazania odpowiednich kwalifikacji kandydata na to stanowisko, a więc np. skierowania go na studia podyplomowe. Problemem może być też zapewnienie organizacyjnej odrębności ABI w ramach instytucji, czego również wymaga ustawa. Zgodnie z nadchodzącą reformą w przyszłości powołanie ABI ponownie będzie obligatoryjne. Ustawa wymaga, aby ABI posiadał odpowiednią wiedzę w zakresie ochrony danych osobowych. Zdobyłem unikalne doświadczenie zawodowe i wykształcenie w dziedzinie ochrony danych osobowych w bankach, które wyróżnia mnie na rynku. Byłem administratorem bezpieczeństwa informacji w wielu instytucjach od 1998 r., a więc od wejścia w życie ustawy o ochronie danych osobowych. M.in. jako ABI Banku BPS, BNP Paribas Polska, a także zagranicą jako Data Protection Coordination Officer w Brukseli oraz Head of Compliance & Regulatory dla polskiego oddziału jednej z największych międzynarodowych grup finansowych. Jednak na bankach, które nie powołają teraz ABI, i tak ciążą wszystkie obowiązki ustawowe (art. 36b ustawy). Kto w Banku będzie dysponował doświadczeniem wystarczającym do spełnienia tych obowiązków, bardziej wymagających niż dotychczas? Kto weźmie na siebie odpowiedzialność prawną za ich wykonanie? Rozwiązaniem może być outsourcing funkcji administratora bezpieczeństwa informacji, wszystkich lub wybranych, np. obowiązkowych od 2015 r. audytów i szkoleń Odznaczenie za działalność edukacyjną na rzecz banków przyznane mi przez Związek Banków Polskich Wśród podmiotów, z którymi współpracowałem, znajdują przede wszystkim banki oraz inne instytucje finansowe. Ponadto firmy z wielu innych sektorów, polskie i zagraniczne: informatyczne, paliwowe, pocztowe, a także uczelnie wyższe oraz organy państwowe: sądy, Ministerstwo Sprawiedliwości, czy Komisja Nadzoru Finansowego. Łącznie to ponad 100 instytucji, wiele kilkakrotnie. Książki mojego autorstwa – najnowsza to „Tajemnice zawodowe i ochrona danych osobowych w instytucjach finansowych”, Wolters Kluwer 2015 _________________________________________________________________________________________________________________________________________________________ dr Mariusz Krzysztofek, Instytut Ochrony Danych Osobowych, tel.: 501 740 429, e-mail: [email protected], www.instytutprawa.pl outsourcing funkcji administratora bezpieczeństwa informacji * obowiązkowe audyty ochrony danych osobowych * tworzenie lub konsultowanie polityk, procedur i dokumentacji ochrony danych * obowiązkowe szkolenia w zakresie ochrony danych osobowych * bieżące doradztwo w zakresie ochrony danych osobowych _________________________________________________________________________________________________________________________________________________________ Proponuję Państwu powierzenie mi obowiązków administratora bezpieczeństwa informacji w Państwa Banku. To forma, która umożliwi zapewnienie zgodności z prawem w tym obszarze, bez konieczności spełniania skomplikowanych wymagań dotyczących tego stanowiska i bez etatu. Podejmę się pełnienia tej funkcji w całości lub w wybranym przez Państwa zakresie. Wykonam obowiązki Banku takie, jak: obowiązkowe okresowe audyty ochrony danych, które wymagają udokumentowania i sprawozdania dla Zarządu Banku Od 1 stycznia 2015 r. należy przeprowadzić co najmniej jeden planowy audyt ochrony danych rocznie. Ponadto audyt doraźny w przypadku podejrzenia naruszenia. Rozporządzenie Ministra Administracji i Cyfryzacji określa zakres tej obowiązkowej weryfikacji i sprawozdania. Przeprowadziłem wiele audytów ochrony danych osobowych w instytucjach finansowych. obowiązkową dokumentację przetwarzania danych (polityki, instrukcje) zapewnienie prawidłowości prowadzenie marketingu opracowanie klauzul zgody i klauzul informacyjnych rejestrację zbiorów danych upoważnienia dla pracowników i ewidencję osób upoważnionych nadzór nad zasadami adekwatności danych, ograniczenia czasowego i innymi zapewnienie prawidłowości zabezpieczeń danych osobowych zapewnienie zgodności umowom outsourcingu, opiniowanie takich umów doraźne opiniowanie i pomoc w razie wątpliwości lub problemów dotyczących ochrony danych i tajemnicy bankowej opiniowanie udzielania uprawnionym organom informacji o klientach zgodnie z przepisami o tajemnicy bankowej reprezentowanie Banku przed GIODO (w tym korespondencja), KNF i audytorami, w razie skargi klienta lub audytu help desk – pomoc (e-mailowo lub telefoniczne) w razie wątpliwości lub problemów dotyczących ochrony danych osobowych i tajemnicy bankowej, np. określoną liczbę odpowiedzi na bieżące pytania dotyczące ujawniania tajemnicy bankowej na wniosek uprawnionych organów, czy skarg klientów Należy również pamiętać o nadchodzącej reformie ochrony danych osobowych, która zostanie uchwalona w 2016 r. Wprowadzi wiele nowych obowiązków. Będzie wymagała analiz i dostosowania działalności. Jedno z moich wystąpień w TV na temat ochrony informacji w bankach Stopień doktora nauk prawnych uzyskałem właśnie w dziedzinie ochrony danych osobowych. Outsourcing funkcji ABI - warto, ponieważ: skomplikowane obowiązki wymagają doświadczenia i wykształcenia w tej dziedzinie, które posiadam, znam i współpracuję z bankami od wielu lat, Bank uwalnia się od problemów związanych z wyznaczaniem ABI wśród pracowników, obowiązki z ustawy ciążą na Banku również gdy nie powoła ABI, w przyszłości powołanie ABI ponownie ma być obowiązkowe. Outsourcing funkcji ABI rozwiązuje te problemy. _________________________________________________________________________________________________________________________________________________________ dr Mariusz Krzysztofek, Instytut Ochrony Danych Osobowych, tel.: 501 740 429, e-mail: [email protected], www.instytutprawa.pl