Reforma regulacyjna sektora bankowego

Podobne dokumenty
Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

RODO A DANE BIOMETRYCZNE

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Prawne ograniczenia dotyczące zautomatyzowanego podejmowania decyzji

Paweł Makowski Radca GIODO

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Maciej Byczkowski ENSI 2017 ENSI 2017

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

PRAWA PODMIOTÓW DANYCH - PROCEDURA

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

I. Podstawowe Definicje

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Nowe podejście do ochrony danych osobowych. Miłocin r.

Radom, 13 kwietnia 2018r.

Opinia 18/2018. w sprawie projektu wykazu sporządzonego przez właściwy portugalski organ nadzorczy. dotyczącego

Monitorowanie systemów IT

Opinia 5/2018. w sprawie projektu wykazu sporządzonego przez właściwe niemieckie organy nadzorcze. dotyczącego

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI. 1. Podstawowe pojęcia: 2. Administrator danych osobowych:

Klauzula informacyjna

inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Oświadczenie o ochronie danych osobowych Informacje dotyczące ochrony danych zgodnie z art. 13 i 14 RODO

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

1. Administratorem danych osobowych w rozumieniu art. 4 pkt 4 RODO1 są Julita

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

Spis treści. Wykaz skrótów... Wprowadzenie...

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

3. Cel przetwarzania danych przez Administratora, podstawa prawna przetwarzania oraz okres, przez który dane osobowe będą przechowywane:

POLITYKA PRYWATNOŚCI. Jakie informacje posiadamy i skąd je uzyskujemy

POLITYKA PRYWATNOŚCI dotycząca danych osobowych użytkowników strony internetowej

OCENA SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

ZAŁĄCZNIK SPROSTOWANIE

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

INFORMACJA dla KANDYDATÓW DO PRACY o PRZETWARZANIU DANYCH OSOBOWYCH w ELICA GROUP POLSKA Sp. z o.o.

ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NA RZECZ ROSEVILLE INVESTMENTS SP. Z O.O.

Opinia 9/2018. w sprawie projektu wykazu sporządzonego przez właściwy francuski organ nadzorczy. dotyczącego

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Polityka prywatności serwisu internetowego

POLITYKA PRYWATNOŚCI

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH STOSOWNIE DO OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO)

Ochrona danych osobowych

Czym jest RODO? Jak można skorzystać z przysługujących praw? Kim jest administrator danych osobowych (ADO) Kim jest podmiot przetwarzający?

Prawne uregulowania biometrii i monitoringu wizyjnego

SZCZEGÓŁOWY HARMONOGRAM KURSU

POLITYKA PRYWATNOŚCI Up&More Sp. z o.o.

O firmie» Polityka prywatności

efaktura - zgoda Klienta

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

Przez dane osobowe rozumiemy dane żywej osoby, która może zostać. zidentyfikowana dzięki wykorzystaniu tych danych. Przetwarzanie przez nas

wykorzystaniu tych danych. Przetwarzanie przez nas Twoich danych osobowych jest

1. Informacja dotycząca Administratora i gromadzenia danych osobowych

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

1. Informacja dotycząca Administratora i gromadzenia danych osobowych

Procedura realizacji praw osób fizycznych

Kto jest administratorem Państwa danych osobowych?

Polityka prywatności w czasie rekrutacji Castorama Polska Sp. z o.o. Oddział I w Warszawie

Polityka ochrony danych i prywatności

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

Opinia 12/2018. dotyczącego. rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust.

POLITYKA OCHRONY PRYWATNOŚCI

Ubezpieczeniowy Fundusz Gwarancyjny. Ubezpieczeniowy Fundusz Gwarancyjny 1

Projekt Kodeks Pracy z dnia dr Mirosław Gumularz radca prawny

POLITYKA PRYWATNOŚCI

WNIOSEK nr... o udzielenie pomocy finansowej na cele określone w regulaminie ZFŚS Część I. Wypełnia pracownik spółki Nazwa Spółki...

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

3. Jakie dane osobowe przetwarzamy

II Konferencja SASO, Nowa era jakości oprogramowania czy już była, jest, czy dopiero nadejdzie? Poznań, 30 czerwca 2017 roku

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Oświadczenie o ochronie danych zgodnie z RODO

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Administratorem Pani/Pana danych osobowych jest Galeria Słupsk.

Opinia 4/2018. w sprawie projektu wykazu sporządzonego przez właściwy czeski organ nadzorczy. dotyczącego

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Niniejsza polityka prywatności zawiera określenie przyjętych przez:

IV. Cele oraz podstawa prawna przetwarzania danych osobowych

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ FOR EVER SPÓŁKA Z OGRANICZONA ODPOWIEDZIALNOŚCIĄ

Nowe przepisy i zasady ochrony danych osobowych

Spis treści. Wykaz skrótów... Wykaz literatury... O Autorach... Przedmowa... Wprowadzenie... 1

Polityka przetwarzania danych osobowych w PGNiG Technologie S.A.

Szanowni Państwo, Z poważaniem. Dyrektor

Oświadczenie dotyczące przetwarzania danych osobowych*)

INSPEKTOR OCHRONY DANYCH Inspektorem Ochrony Danych jest Pan Piotr Koper, adres

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

Transkrypt:

Reforma regulacyjna sektora bankowego Dostosowanie do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) i przepisów krajowych w zakresie danych osobowych 11 grudnia 2017

Agenda Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa Profilowanie i automatyczne podejmowanie decyzji 2

Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy

Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Obecny porządek prawny ochrony danych osobowych do dnia 25 maja 2018 r.: Unia Europejska Polska Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Nowy porządek prawny ochrony danych osobowych od dnia 25 maja 2018 r.: Unia Europejska Polska Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) Nowa ustawa o ochronie danych osobowych (UODO) Ustawa przepisy wprowadzające nową UODO 4

Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy 2 lata okres przejściowy Tu jesteśmy 28 marca 2017 Wstępny projekt nowej UODO 12 września 2017 Projekt nowej UODO Projekt przepisów wprowadzających 13 października 2017 Zakończenie konsultacji społecznych 24 maja 2016 RODO Wejście w życie 25 maja 2018 RODO Pełne stosowanie Co dalej? Kiedy projekty trafią do Sejmu? Kiedy projekty zostaną uchwalone? Grudzień 2017 Konferencja podsumowująca konsultacje społeczne. Może jeszcze przed Świętami Bożego Narodzenia. Muszą zostać uchwalone przed datą stosowania RODO. 5

Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Odesłania w RODO do regulacji krajowych przykłady: Państwa członkowskie przyjmują przepisy regulujące działalność krajowego organu nadzorczego. Państwa członkowskie są uprawnione do określenia w swoim prawie niższej granicy wiekowej dziecka, które może wyrazić zgodę na przetwarzanie danych osobowych. Zautomatyzowane podejmowanie decyzji, w tym profilowanie, jest dopuszczalne jeżeli decyzja ta jest dozwolona prawem państwa członkowskiego. Prawo do usunięcia danych nie ma zastosowania w zakresie w jakim przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku państwa członkowskiego. 1 2 3 4 6

Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Nowa ustawa o ochronie danych osobowych - kluczowe zagadnienia: Prezes Urzędu Ochrony Danych Osobowych Jednoinstancyjne postępowanie Organizacje społeczne Postanowienie o ograniczeniu przetwarzania Natychmiastowa wykonalność decyzji Nowy rodzaj roszczenia Przepisy karne Kryteria certyfikacji Rekomendacje określające środki techniczne i organizacyjne Zgoda dziecka 7

Wpływ RODO i Ustawy o ochronie danych osobowych na sektor bankowy Ustawa przepisy wprowadzające nową ustawę o ochronie danych osobowych - zmiany w ustawie Prawo bankowe Kluczowe zagadnienia: Informacje o karalność pracowników Dane biometryczne pracowników Dane biometryczne klientów Profilowanie i automatyczne podejmowanie decyzji Wyłączenia RODO 8

Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa

Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa Dane biometryczne Dane biometryczne (szczególna kategoria danych) Dotyczą cech osoby fizycznej: Fizycznych Fizjologicznych Behawioralnych Wynikają ze specjalnego przetwarzania technicznego umożliwiającego lub potwierdzającego jednoznaczną identyfikację osoby fizycznej Motyw 51 RODO: Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Przykłady UKŁAD LINII PAPILARNYCH BRZMIENIE GŁOSU OBRAZ TĘCZÓWKI OKA 10

Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa Ustawa przepisy wprowadzające nową UODO Kodeks pracy Zgoda Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej Brak zgody nie może być podstawą niekorzystnego traktowania pracownika, a także nie może powodować wobec niego jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę Kodeks pracy Szczególne przepis prawa Kodeks pracy Przepisy wykonawcze Pracodawca żąda podania danych biometrycznych jeżeli obowiązek ich podania wynika z odrębnych przepisów lub gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób gromadzenia danych biometrycznych, uwzględniając zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń. 11

Nowe prawa i obowiązki w odniesieniu do pracowników sektora finansowego a aspekt digitalizacji i bezpieczeństwa Ustawa przepisy wprowadzające nową UODO Szczególne przepisy prawa ustawa Prawo bankowe, ustawa o usługach płatniczych, ustawa o SKOK Stanowisko GIODO dot. oceny skutków dla ochrony danych (DPIA) Bank, instytucja płatnicza, instytucja pieniądza elektronicznego oraz SKOK ma prawo żądać od pracownika danych biometrycznych, w szczególności w postaci odcisków palców, głosu, obrazu rogówki i sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do przetwarzanych informacji i pomieszczeń Wymienione podmioty mają prawo przechowywania danych biometrycznych wyłącznie przez okres zatrudnienia pracownika Projektodawca nie wykorzystał zarówno w przypadku projektu przepisów Kodeksu pracy, jak i w odniesieniu do zmian w innych przepisach sektorowych, możliwości jakie niesie ze sobą regulacja z art. 35 ust. 10 RODO Pomimo wprowadzonej podstawy prawnej przetwarzanie danych biometrycznych we wskazanych obszarach będzie niemożliwe, jeśli ocena skutków dla ochrony danych wykonana przez administratora wykaże wysokie ryzyko naruszenia praw i wolności osób, których dane są przetwarzane, a organ nadzorczy w wyniku konsultacji w trybie art. 36 RODO uzna, że przetwarzanie to naruszałoby przepisy RODO 12

RODO a nowe funkcjonalności i zabezpieczenia IT Obszar zarządzania procesami i danymi Obszar architektury systemów Bezpieczeństwo systemów Inwentaryzacja danych oraz jakość danych osobowych w zakresie całego środowiska informatycznego Kwestia identyfikacji narzędzi i przeprowadzenia działań inwentaryzacyjnych dla narzędzi EUC Dostosowanie funkcjonalności systemów informatycznych z uwzględnieniem wymogu anonimizacji i pseudonimizacji danych Privacy by design Realizacja praw podmiotów danych m.in.. do usunięcia, przeniesienia, ograniczenia przetwarzania oraz aktualizacji danych w systemach informatycznych Przeprowadzenie oceny wpływu planowanych operacji przetwarzania na prywatność - Privacy Impact Assessment Środki zabezpieczające dane osobowe a istniejące standardy bezpieczeństwa Przygotowanie do zgłaszania naruszeń danych osobowych i przygotowanie rejestru czynności przetwarzania 13

Mity na temat ochrony danych osobowych w rozwiązaniach opartych o chmurę obliczeniową Chmura obliczeniowa stawia całkowicie nowe wyzwania w sferze ochrony danych osobowych oraz zgodności z obowiązującymi regulacjami bezpieczeństwa Chmura obliczeniowa polega na dzieleniu się większą ilością danych, co negatywnie wpływa na prywatność Chmura obliczeniowa wpływa negatywnie na bezpieczeństwo danych i powoduje brak kontroli nad przetwarzanymi danymi Przetwarzania danych w chmurze nie jest transparentne - chmura obliczeniowa powoduje dodatkowe wątpliwości prawne z zakresu prywatności z uwagi na międzynarodowy transfer danych Przepisy dotyczące przechowywania danych wymagają aby dane pozostały przetwarzane lokalnie Zgodność z obowiązującymi przepisami dotyczącymi prywatności i bezpieczeństwa danych jest obowiązkiem dostawcy Cloud Vendor Lock-In 14

Aspekty prywatności i bezpieczeństwa dotyczące chmury według IAPP Prywatność Kompleksowe polityki Przemyślane zapisy umowne Dostęp do danych Nieodpowiednie użycie danych Niewłaściwe udostępnianie danych Odpowiednia separacja przechowywanych danych Bezpieczeństwo Wymagania i zapisy umowne o poziomie usług (SLAs) Przechowywanie informacji wg wrażliwości Bezpieczeństwo fizyczne Właściwe mechanizmy bezpieczeństwa dla dostępu Lokalizacja geograficzna Odpowiednie szyfrowanie Wyciek danych Przechwytywanie danych w transmisji Niezabezpieczone interfejsy Odmowa usługi (Denial of Service) Niewłaściwe korzystanie z usług Audyt i rejestracja działań 15

Profilowanie i automatyczne podejmowanie decyzji

Profilowanie i automatyczne podejmowanie decyzji Profilowanie Przetwarzanie zautomatyzowane Wykonywane na danych osobowych Polegające na ocenie niektórych czynników osobowych osoby fizycznej np. analizie lub prognozie aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się Sposoby wykorzystywania profilowania: ogólne profilowanie podejmowanie decyzji oparte na profilowaniu zautomatyzowane podejmowanie decyzji oparte na profilowaniu Automatyczne podejmowanie decyzji Opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych Wywołuje wobec osoby fizycznej skutki prawne lub w podobny sposób istotnie na nią wpływa Bez profilowania Sposoby podejmowania automatycznych decyzji W oparciu o profilowanie Przykłady Automatyczne odrzucenie elektronicznego wniosku kredytowego Elektroniczne metody rekrutacji bez interwencji ludzkiej 17

Profilowanie i automatyczne podejmowanie decyzji RODO wprowadza ogólny zakaz podejmowania decyzji automatycznie 1 Decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem Odstępstwa od zakazu podejmowania decyzji automatycznie 2 Decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator (odstępstwo dot. także szczególnych kategorii danych) 3 Decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą (odstępstwo dot. także szczególnych kategorii danych) 18

Profilowanie i automatyczne podejmowanie decyzji Szczególne obowiązki i prawa Obowiązek informacyjny Profilowanie Motyw 60 RODO: Należy poinformować o fakcie profilowania oraz o konsekwencjach takiego profilowania. Automatyczne podejmowanie decyzji - art. 13(2)(f), art. 14(2)(g), art. 15(1)(h) RODO: Należy poinformować o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz podać istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Prawo do wniesienia sprzeciw wobec profilowania Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw: Wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania Wobec przetwarzania dotyczących jej danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania Prawa dot. automatycznie podejmowanych decyzji Osoba, której dane dotyczą ma co najmniej prawo do: Zyskania interwencji ludzkiej ze strony administratora Wyrażenia własnego stanowiska Zakwestionowania decyzji 19

Profilowanie i automatyczne podejmowanie decyzji Szczególne obowiązki i prawa Zgodnie z RODO - Art. 35(3), ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku: Ocena skutków dla ochrony danych perspektywa RODO: Jeżeli dany rodzaj przetwarzania ( ) z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych 1 2 3 Systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną. Przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. 20

Kontakt Jakub Walarus Menedżer + 48 519 511 402 jakub.walarus@pl.ey.com Michał Balicki Menedżer +48 519 033 737 michal.balicki@pl.ey.com 21

Dziękujemy za uwagę 22

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres