Tajemnica bankowa i ochrona danych osobowych w czynnościach

Tajemnica bankowa i ochrona danych osobowych w czynnościach
outsourcingowych
MMC Polska, Outsourcing bankowy – organizacja, zarządzanie i kontrola czynności powierzonych
Warszawa, 4 kwietnia 2016 r.
Michał Mostowik
Prawnik
Associate
Kiedy outsourcing?
Jakie czynności są powierzane przez bank?
Jakie informacje są przekazywane przez bank?
Kto ma dostęp do danych?
Jak są zabezpieczone dane?
Jak pogodzić wymogi prawne i biznesowe?
Jakie są uprawnienia organów nadzoru (KNF, EBA,
GIODO)?
…
Outsourcing bankowy
Dane osobowe
• wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej,
• informacji nie uważa się za umożliwiającą określenie tożsamości
osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań
Dane wrażliwe
• dane ujawniające pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową, jak również dane o stanie
zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz
danych dotyczących skazań, orzeczeń o ukaraniu i mandatów
karnych, a także innych orzeczeń wydanych w postępowaniu
sądowym lub administracyjnym.
Przetwarzanie danych
• jakiekolwiek operacje wykonywane na danych osobowych, takie jak
zbieranie,
utrwalanie,
przechowywanie,
opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które
wykonuje się w systemach informatycznych.
Administrator danych
• organ, jednostka organizacyjna, podmiot lub osoba, decydujące o
celach i środkach przetwarzania danych osobowych,
• administrator vs. procesor danych.
Dane osobowe
Czy dopuszczalne jest nałożenie kary pieniężnej, na podstawie art. 209 ust. 1 pkt 25 [PrTelekom], na
przedsiębiorcę telekomunikacyjnego, w sytuacji gdy zlecił on przeprowadzenie akcji promującej jego
usługi innemu podmiotowi, który wykonał to zlecenie używając dla celów marketingu bezpośredniego
automatycznych systemów wywołujących bez uzyskania na to zgody abonentów lub użytkowników
końcowych będących adresatami takich działań?
172: Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów
wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy
uprzednio wyraził na to zgodę.
174: […] zgoda ta:
1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;
2) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez
użytkownika;
3) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.
Art. 209 ust. 1 pkt 25 [prawa telekomunikacyjnego] może stanowić podstawę prawną nałożenia kary
pieniężnej na przedsiębiorcę telekomunikacyjnego, który zlecił innemu podmiotowi wykorzystanie
automatycznych systemów wywołujących dla celów marketingu bezpośredniego usług tego
przedsiębiorcy telekomunikacyjnego wśród jego abonentów lub użytkowników końcowych na
podstawie bazy przekazanych numerów telefonicznych.
Uchwała SN z 17.02.2016 (III SZP 7/15)
Outsourcing marketingu
Rekomendacja 10: Bank powinien posiadać sformalizowane zasady współpracy z zewnętrznymi
dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania
środowiska teleinformatycznego […].
10.3. Procedury doboru usługodawców zewnętrznych […] powinny uwzględniać ryzyko związane z danymi
usługami i obejmować w szczególności ocenę sytuacji ekonomiczno-finansowej usługodawcy,
zapewnianego przez niego poziomu bezpieczeństwa oraz jakości świadczonych usług […].
10.4. Bank powinien analizować ryzyko związane z upadłością usługodawcy zewnętrznego lub jego nagłym
wycofaniem się ze współpracy oraz posiadać skuteczne plany awaryjne […]
10.6. W przypadku, gdy usługi świadczone przez podmiot zewnętrzny obejmują przetwarzanie danych o
wysokim stopniu poufności lub istotności dla banku [np. Cloud Computing lub zewnętrznych data centers],
bank powinien w szczególności:
– wprowadzić odpowiednie mechanizmy kontrolne zapewniające poufność tych danych (np. poprzez ich
szyfrowanie),
– zapewnić, aby informacje o wszelkich incydentach zagrażających bezpieczeństwu danych były
raportowane przez dostawcę,
– posiadać informacje o tym, w jakich lokalizacjach geograficznych dane te są przetwarzane oraz jakie
przepisy prawa obowiązują tam w przedmiotowym zakresie, oraz zapewnić zgodność świadczonych usług z
przepisami prawa obowiązującymi w Polsce,
– zapewnić skuteczne mechanizmy pozwalające na bezpieczne zakończenie współpracy […]
– przeanalizować zasadność […] obowiązku przedstawiania przez dostawcę certyfikatów w zakresie
zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji […]
10.7. Bank powinien sprawować kontrolę nad działalnością usługodawcy w zakresie świadczonych przez
niego usług.
Rekomendacja D
dLK Korus Okoń Radcowie Prawni sp.p.
ul. Ogrodowa 58, 00-876, Warszawa
ul. Królowej Jadwigi 237, 30-218 Kraków
+48 12 410 07 47
[email protected]
www.dlklegal.com
Follow us on Twitter: @dlklegal