Tajemnica bankowa i ochrona danych osobowych w czynnościach
Transkrypt
Tajemnica bankowa i ochrona danych osobowych w czynnościach
Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych MMC Polska, Outsourcing bankowy – organizacja, zarządzanie i kontrola czynności powierzonych Warszawa, 4 kwietnia 2016 r. Michał Mostowik Prawnik Associate Kiedy outsourcing? Jakie czynności są powierzane przez bank? Jakie informacje są przekazywane przez bank? Kto ma dostęp do danych? Jak są zabezpieczone dane? Jak pogodzić wymogi prawne i biznesowe? Jakie są uprawnienia organów nadzoru (KNF, EBA, GIODO)? … Outsourcing bankowy Dane osobowe • wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, • informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań Dane wrażliwe • dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych • jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Administrator danych • organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych, • administrator vs. procesor danych. Dane osobowe Czy dopuszczalne jest nałożenie kary pieniężnej, na podstawie art. 209 ust. 1 pkt 25 [PrTelekom], na przedsiębiorcę telekomunikacyjnego, w sytuacji gdy zlecił on przeprowadzenie akcji promującej jego usługi innemu podmiotowi, który wykonał to zlecenie używając dla celów marketingu bezpośredniego automatycznych systemów wywołujących bez uzyskania na to zgody abonentów lub użytkowników końcowych będących adresatami takich działań? 172: Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. 174: […] zgoda ta: 1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; 2) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika; 3) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat. Art. 209 ust. 1 pkt 25 [prawa telekomunikacyjnego] może stanowić podstawę prawną nałożenia kary pieniężnej na przedsiębiorcę telekomunikacyjnego, który zlecił innemu podmiotowi wykorzystanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego usług tego przedsiębiorcy telekomunikacyjnego wśród jego abonentów lub użytkowników końcowych na podstawie bazy przekazanych numerów telefonicznych. Uchwała SN z 17.02.2016 (III SZP 7/15) Outsourcing marketingu Rekomendacja 10: Bank powinien posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego […]. 10.3. Procedury doboru usługodawców zewnętrznych […] powinny uwzględniać ryzyko związane z danymi usługami i obejmować w szczególności ocenę sytuacji ekonomiczno-finansowej usługodawcy, zapewnianego przez niego poziomu bezpieczeństwa oraz jakości świadczonych usług […]. 10.4. Bank powinien analizować ryzyko związane z upadłością usługodawcy zewnętrznego lub jego nagłym wycofaniem się ze współpracy oraz posiadać skuteczne plany awaryjne […] 10.6. W przypadku, gdy usługi świadczone przez podmiot zewnętrzny obejmują przetwarzanie danych o wysokim stopniu poufności lub istotności dla banku [np. Cloud Computing lub zewnętrznych data centers], bank powinien w szczególności: – wprowadzić odpowiednie mechanizmy kontrolne zapewniające poufność tych danych (np. poprzez ich szyfrowanie), – zapewnić, aby informacje o wszelkich incydentach zagrażających bezpieczeństwu danych były raportowane przez dostawcę, – posiadać informacje o tym, w jakich lokalizacjach geograficznych dane te są przetwarzane oraz jakie przepisy prawa obowiązują tam w przedmiotowym zakresie, oraz zapewnić zgodność świadczonych usług z przepisami prawa obowiązującymi w Polsce, – zapewnić skuteczne mechanizmy pozwalające na bezpieczne zakończenie współpracy […] – przeanalizować zasadność […] obowiązku przedstawiania przez dostawcę certyfikatów w zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji […] 10.7. Bank powinien sprawować kontrolę nad działalnością usługodawcy w zakresie świadczonych przez niego usług. Rekomendacja D dLK Korus Okoń Radcowie Prawni sp.p. ul. Ogrodowa 58, 00-876, Warszawa ul. Królowej Jadwigi 237, 30-218 Kraków +48 12 410 07 47 [email protected] www.dlklegal.com Follow us on Twitter: @dlklegal