Reforma regulacyjna sektora bankowego

Transkrypt

1 Reforma regulacyjna sektora bankowego Dostosowanie do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) i przepisów krajowych w zakresie danych osobowych 11 grudnia 2017

2 Agenda Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa Profilowanie i automatyczne podejmowanie decyzji 2

3 Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy

4 Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Obecny porządek prawny ochrony danych osobowych do dnia 25 maja 2018 r.: Unia Europejska Polska Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Nowy porządek prawny ochrony danych osobowych od dnia 25 maja 2018 r.: Unia Europejska Polska Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) Nowa ustawa o ochronie danych osobowych (UODO) Ustawa przepisy wprowadzające nową UODO 4

5 Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy 2 lata okres przejściowy Tu jesteśmy 28 marca 2017 Wstępny projekt nowej UODO 12 września 2017 Projekt nowej UODO Projekt przepisów wprowadzających 13 października 2017 Zakończenie konsultacji społecznych 24 maja 2016 RODO Wejście w życie 25 maja 2018 RODO Pełne stosowanie Co dalej? Kiedy projekty trafią do Sejmu? Kiedy projekty zostaną uchwalone? Grudzień 2017 Konferencja podsumowująca konsultacje społeczne. Może jeszcze przed Świętami Bożego Narodzenia. Muszą zostać uchwalone przed datą stosowania RODO. 5

6 Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Odesłania w RODO do regulacji krajowych przykłady: Państwa członkowskie przyjmują przepisy regulujące działalność krajowego organu nadzorczego. Państwa członkowskie są uprawnione do określenia w swoim prawie niższej granicy wiekowej dziecka, które może wyrazić zgodę na przetwarzanie danych osobowych. Zautomatyzowane podejmowanie decyzji, w tym profilowanie, jest dopuszczalne jeżeli decyzja ta jest dozwolona prawem państwa członkowskiego. Prawo do usunięcia danych nie ma zastosowania w zakresie w jakim przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku państwa członkowskiego

7 Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Nowa ustawa o ochronie danych osobowych - kluczowe zagadnienia: Prezes Urzędu Ochrony Danych Osobowych Jednoinstancyjne postępowanie Organizacje społeczne Postanowienie o ograniczeniu przetwarzania Natychmiastowa wykonalność decyzji Nowy rodzaj roszczenia Przepisy karne Kryteria certyfikacji Rekomendacje określające środki techniczne i organizacyjne Zgoda dziecka 7

8 Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Ustawa przepisy wprowadzające nową ustawę o ochronie danych osobowych - zmiany w ustawie Prawo bankowe Kluczowe zagadnienia: Informacje o karalność pracowników Dane biometryczne pracowników Dane biometryczne klientów Profilowanie i automatyczne podejmowanie decyzji Wyłączenia RODO 8

9 Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa

10 Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa Dane biometryczne Dane biometryczne (szczególna kategoria danych) Dotyczą cech osoby fizycznej: Fizycznych Fizjologicznych Behawioralnych Wynikają ze specjalnego przetwarzania technicznego umożliwiającego lub potwierdzającego jednoznaczną identyfikację osoby fizycznej Motyw 51 RODO: Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Przykłady UKŁAD LINII PAPILARNYCH BRZMIENIE GŁOSU OBRAZ TĘCZÓWKI OKA 10

11 Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa Ustawa przepisy wprowadzające nową UODO Kodeks pracy Zgoda Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej Brak zgody nie może być podstawą niekorzystnego traktowania pracownika, a także nie może powodować wobec niego jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę Kodeks pracy Szczególne przepis prawa Kodeks pracy Przepisy wykonawcze Pracodawca żąda podania danych biometrycznych jeżeli obowiązek ich podania wynika z odrębnych przepisów lub gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób gromadzenia danych biometrycznych, uwzględniając zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń. 11

12 Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa Ustawa przepisy wprowadzające nową UODO Szczególne przepisy prawa ustawa Prawo bankowe, ustawa o usługach płatniczych, ustawa o SKOK Stanowisko GIODO dot. oceny skutków dla ochrony danych (DPIA) Bank, instytucja płatnicza, instytucja pieniądza elektronicznego oraz SKOK ma prawo żądać od pracownika danych biometrycznych, w szczególności w postaci odcisków palców, głosu, obrazu rogówki i sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do przetwarzanych informacji i pomieszczeń Wymienione podmioty mają prawo przechowywania danych biometrycznych wyłącznie przez okres zatrudnienia pracownika Projektodawca nie wykorzystał zarówno w przypadku projektu przepisów Kodeksu pracy, jak i w odniesieniu do zmian w innych przepisach sektorowych, możliwości jakie niesie ze sobą regulacja z art. 35 ust. 10 RODO Pomimo wprowadzonej podstawy prawnej przetwarzanie danych biometrycznych we wskazanych obszarach będzie niemożliwe, jeśli ocena skutków dla ochrony danych wykonana przez administratora wykaże wysokie ryzyko naruszenia praw i wolności osób, których dane są przetwarzane, a organ nadzorczy w wyniku konsultacji w trybie art. 36 RODO uzna, że przetwarzanie to naruszałoby przepisy RODO 12

13 RODO a nowe funkcjonalności i zabezpieczenia IT Obszar zarządzania procesami i danymi Obszar architektury systemów Bezpieczeństwo systemów Inwentaryzacja danych oraz jakość danych osobowych w zakresie całego środowiska informatycznego Kwestia identyfikacji narzędzi i przeprowadzenia działań inwentaryzacyjnych dla narzędzi EUC Dostosowanie funkcjonalności systemów informatycznych z uwzględnieniem wymogu anonimizacji i pseudonimizacji danych Privacy by design Realizacja praw podmiotów danych m.in.. do usunięcia, przeniesienia, ograniczenia przetwarzania oraz aktualizacji danych w systemach informatycznych Przeprowadzenie oceny wpływu planowanych operacji przetwarzania na prywatność - Privacy Impact Assessment Środki zabezpieczające dane osobowe a istniejące standardy bezpieczeństwa Przygotowanie do zgłaszania naruszeń danych osobowych i przygotowanie rejestru czynności przetwarzania 13

14 Mity na temat ochrony danych osobowych w rozwiązaniach opartych o chmurę obliczeniową Chmura obliczeniowa stawia całkowicie nowe wyzwania w sferze ochrony danych osobowych oraz zgodności z obowiązującymi regulacjami bezpieczeństwa Chmura obliczeniowa polega na dzieleniu się większą ilością danych, co negatywnie wpływa na prywatność Chmura obliczeniowa wpływa negatywnie na bezpieczeństwo danych i powoduje brak kontroli nad przetwarzanymi danymi Przetwarzania danych w chmurze nie jest transparentne - chmura obliczeniowa powoduje dodatkowe wątpliwości prawne z zakresu prywatności z uwagi na międzynarodowy transfer danych Przepisy dotyczące przechowywania danych wymagają aby dane pozostały przetwarzane lokalnie Zgodność z obowiązującymi przepisami dotyczącymi prywatności i bezpieczeństwa danych jest obowiązkiem dostawcy Cloud Vendor Lock-In 14

15 Aspekty prywatności i bezpieczeństwa dotyczące chmury według IAPP Prywatność Kompleksowe polityki Przemyślane zapisy umowne Dostęp do danych Nieodpowiednie użycie danych Niewłaściwe udostępnianie danych Odpowiednia separacja przechowywanych danych Bezpieczeństwo Wymagania i zapisy umowne o poziomie usług (SLAs) Przechowywanie informacji wg wrażliwości Bezpieczeństwo fizyczne Właściwe mechanizmy bezpieczeństwa dla dostępu Lokalizacja geograficzna Odpowiednie szyfrowanie Wyciek danych Przechwytywanie danych w transmisji Niezabezpieczone interfejsy Odmowa usługi (Denial of Service) Niewłaściwe korzystanie z usług Audyt i rejestracja działań 15

16 Profilowanie i automatyczne podejmowanie decyzji

17 Profilowanie i automatyczne podejmowanie decyzji Profilowanie Przetwarzanie zautomatyzowane Wykonywane na danych osobowych Polegające na ocenie niektórych czynników osobowych osoby fizycznej np. analizie lub prognozie aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się Sposoby wykorzystywania profilowania: ogólne profilowanie podejmowanie decyzji oparte na profilowaniu zautomatyzowane podejmowanie decyzji oparte na profilowaniu Automatyczne podejmowanie decyzji Opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych Wywołuje wobec osoby fizycznej skutki prawne lub w podobny sposób istotnie na nią wpływa Bez profilowania Sposoby podejmowania automatycznych decyzji W oparciu o profilowanie Przykłady Automatyczne odrzucenie elektronicznego wniosku kredytowego Elektroniczne metody rekrutacji bez interwencji ludzkiej 17

18 Profilowanie i automatyczne podejmowanie decyzji RODO wprowadza ogólny zakaz podejmowania decyzji automatycznie 1 Decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem Odstępstwa od zakazu podejmowania decyzji automatycznie 2 Decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator (odstępstwo dot. także szczególnych kategorii danych) 3 Decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą (odstępstwo dot. także szczególnych kategorii danych) 18

19 Profilowanie i automatyczne podejmowanie decyzji Szczególne obowiązki i prawa Obowiązek informacyjny Profilowanie Motyw 60 RODO: Należy poinformować o fakcie profilowania oraz o konsekwencjach takiego profilowania. Automatyczne podejmowanie decyzji - art. 13(2)(f), art. 14(2)(g), art. 15(1)(h) RODO: Należy poinformować o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz podać istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Prawo do wniesienia sprzeciw wobec profilowania Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw: Wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania Wobec przetwarzania dotyczących jej danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania Prawa dot. automatycznie podejmowanych decyzji Osoba, której dane dotyczą ma co najmniej prawo do: Zyskania interwencji ludzkiej ze strony administratora Wyrażenia własnego stanowiska Zakwestionowania decyzji 19

20 Profilowanie i automatyczne podejmowanie decyzji Szczególne obowiązki i prawa Zgodnie z RODO - Art. 35(3), ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku: Ocena skutków dla ochrony danych perspektywa RODO: Jeżeli dany rodzaj przetwarzania ( ) z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną. Przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. 20

21 Kontakt Jakub Walarus Menedżer jakub.walarus@pl.ey.com Michał Balicki Menedżer michal.balicki@pl.ey.com 21

22 Dziękujemy za uwagę 22