15
maja
2018
OCHRONA DANYCH OSOBOWYCH W INSTYTUCJACH FINANSOWYCH W KONTEKŚCIE RODO (ROZPORZĄDZENIA UE 2016/679) I ZNOWELIZOWANYCH USTAW KRAJOWYCH
koordynator: Iwona Brokowska Duda
Szkolenie prowadzi: Dr hab., radca prawny Mariusz Krzysztofek
Czas trwania szkolenia: 10:00 - 16:00
Program:
1. Tło i przyczyny reformy, wejście w życie w Polsce
2. Charakterystyka ochrony danych osobowych po reformie. Rozszerzenie definicji danych osobowych.
- Podstawowe pojęcia:
- dane osobowe (czy np. adres e-mail i numer telefonu są danymi osobowymi?), dane wrażliwe, dane biometryczne, (np. odciski palców jako alternatywa dla PIN lub do ewidencji czasu pracy), dane geolokalizacyjne i IP (użytkownika aplikacji)
- przetwarzanie danych, usuwanie danych, pseudonimizacja
- Prawa autorskie – utwory z zakresu prawa autorskiego.
- Know – how.
- nowe wymagania wobec klauzul zgody, w tym marketingowych, błędy popełniane przy ich konstruowaniu
- czy dopuszczalne jest telefonowanie do klienta z dodatkową ofertą? czy dopuszczalne jest telefonowanie / wysłanie e-maila marketingowego (np. pozyskanego z ogłoszeń w Internecie) do potencjalnego klienta? czy przy okazji marketingu produktów instytucji finansowej dopuszczalne jest przestawienie oferty podmiotu innego niż ta instytucja?
- Nowy zakres klauzul informacyjnych i skutki ich rozszerzenia (np. dane kontaktowe ABI, podstawa prawna przetwarzania danych, pouczenie o profilowaniu, informacja o retencji)
- nowe warunki dopuszczalności profilowania klientów w celach marketingowych
- problemy dotyczące przetwarzania danych wrażliwych np. w procesach windykacyjnych, zmiana definicji danych wrażliwych
- dopuszczalność odbierania od kandydatów do pracy i pracowników informacji lub zaświadczeń dotyczących ewentualnej karalności, monitoring pracowników
- przechowywanie danych osobowych po wygaśnięciu umowy z klientem
- prawo żądania od banku informacji m.in. o treści przetwarzanych danych dotyczących klienta, o ich źródle, o odbiorcach danych
- prawo żądania odnotowania sprzeciwu wobec marketingu, prawo do sprzeciwu wobec profilowania
- prawo żądania poprawienia błędnych danych (np. sposób postępowania, gdy żądanie zmiany adresu do korespondencji składa nie klient, lecz właściciel mieszkania)
- nowe prawo do przenoszenia danych
- nowe „prawo do bycia zapomnianym”
- nowe prawo do ograniczenia przetwarzania
- „domagam się informacji o rachunku i zadłużeniu mojej żony / męża, ponieważ jesteśmy objęciu ustawową wspólnością małżeńską / toczy się postępowanie sądowe o podział majątku”
- „jakim prawem kseruje pan mój dowód osobisty?”
- „jakim prawem przekazaliście moje dane firmie windykacyjnej?”, „jakim prawem wysyłacie do mnie smsy windykacyjne bez mojej zgody?”
- czy powołanie inspektora ochrony danych nadal jest fakultatywne?
- nowe obowiązki inspektora
- status i pozycja w inspektora strukturze
- analiza ryzyka przed przetwarzaniem danych (privacy risk assessment)
- uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych (privacy by default)
- rejestr czynności przetwarzania
- korzyści wynikające z certyfikacji
- rejestr czynności przetwarzania
- zniesienie obowiązku rejestracji zbiorów
- obowiązek nadania upoważnień do przetwarzania danych osobowych, oznaczenie zakresów upoważnień, forma upoważnień; ewidencja osób upoważnionych do przetwarzania danych i forma jej prowadzenia
- środki bezpieczeństwa, takie jak polityka „czystego biurka”, nadzór nad dostępem do pomieszczeń, zamykanie dokumentów w odpowiednich szafach, niszczarki wydruków, odpowiednie ustawienie monitorów w sposób wykluczający wgląd osób trzecich, dyskrecja w przekazywaniu informacji chronionych w rozmowie z klientem lub współpracownikiem w obecności osób trzecich, sposoby zabezpieczania dostępu do komputera, wymogi dotyczące haseł do systemu informatycznego
- sposób spełnienia obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
- sposób rejestracji zbiorów, wyjątki od obowiązku rejestracji, sposób prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych
9. Zgłoszenie naruszenia ochrony danych osobowych
- nowy obowiązek - zgłoszenie naruszenia ochrony danych osobowych GIODO
- nowy obowiązek - zgłoszenie naruszenia ochrony danych osobowych podmiotowi danych
- procedura, która zapewni, że w ramach struktury administratora danych incydenty będą zgłaszane inspektorowi ochrony danych lub innej wyznaczonej osobie
11. Powierzenie przetwarzania danych
- outsourcing jako wyjątek od tajemnicy bankowej
- umowa o powierzeniu przetwarzania danych osobowych
Mariusz Krzysztofek
Dr hab., radca prawny Mariusz Krzysztofek
Doświadczenie w wykonywaniu funkcji administratora bezpieczeństwa informacji oraz eksperta, audytora i trenera w tej dziedzinie w wielu instytucjach od wejścia w życie przepisów o ochronie danych osobowych, w tym w kilkudziesięciu bankach. Zarządzał ochroną danych osobowych w skali globalnej wykonując tę funkcję w Brukseli w międzynarodowej grupie finansowej, a obecnie jest dyrektorem zarządzającym ochroną danych w EMEA w jednej z największych globalnych firm w sektorze FMCG.
Stopień doktora habilitowanego nauk prawnych uzyskał właśnie w tej dziedzinie. Jest autorem 5 książek na temat ochrony danych, w tym pierwszego komentarza na rynku polskim i pierwszej monografii na anglojęzycznym rynku światowym.
Był wielokrotnie ekspertem działającym na rzecz instytucji publicznych oraz w programach telewizyjnych. Autor projektu zmiany przepisów o tajemnicy bankowej przyjętej przez Ministra Sprawiedliwości. Został odznaczony przez Związek Banków Polskich Odznaką Honorową za działalność edukacyjną na rzecz banków, a także jako „Wzorowy Trener Warszawskiego Instytutu Bankowości” w kolejnych kilku latach.
Członek Rady Programowej kwartalnika „Informacja w Administracji Publicznej” (C.H.Beck). Ekspert zaproszony do współpracy przy analizie zakresu wdrożenia rozporządzenia 2016/679 przez Ministerstwo Cyfryzacji, grudzień 2016.
Jest również absolwentem studiów podyplomowych na Georgetown University i University of Wisconsin – La Crosse w Stanach Zjednoczonych i odbył praktykę w federalnym nadzorze bankowym Stanów Zjednoczonych.