szkolenie

15
maja
2018

OCHRONA DANYCH OSOBOWYCH W INSTYTUCJACH FINANSOWYCH W KONTEKŚCIE RODO (ROZPORZĄDZENIA UE 2016/679) I ZNOWELIZOWANYCH USTAW KRAJOWYCH

koordynator: Iwona Brokowska

Szkolenie prowadzi: Dr hab., radca prawny Mariusz Krzysztofek

Czas trwania szkolenia: 10:00 - 16:00

Program:
1. Tło i przyczyny reformy, wejście w życie w Polsce
2. Charakterystyka ochrony danych osobowych po reformie. Rozszerzenie definicji danych osobowych.

  • Podstawowe pojęcia:
    1. dane osobowe (czy np. adres e-mail i numer telefonu są danymi osobowymi?), dane wrażliwe, dane biometryczne, (np. odciski palców jako alternatywa dla PIN lub do ewidencji czasu pracy), dane geolokalizacyjne i IP (użytkownika aplikacji)
    2. przetwarzanie danych, usuwanie danych, pseudonimizacja
3. Klauzule zgody i klauzule informacyjne. Prawidłowość prowadzenia marketingu
  • Prawa autorskie – utwory z zakresu prawa autorskiego.
  • Know – how.
2. Korzyści z ochrony działań innowacyjnych:
  • nowe wymagania wobec klauzul zgody, w tym marketingowych, błędy popełniane przy ich konstruowaniu
  • czy dopuszczalne jest telefonowanie do klienta z dodatkową ofertą? czy dopuszczalne jest telefonowanie / wysłanie e-maila marketingowego (np. pozyskanego z ogłoszeń w Internecie) do potencjalnego klienta? czy przy okazji marketingu produktów instytucji finansowej dopuszczalne jest przestawienie oferty podmiotu innego niż ta instytucja?
  • Nowy zakres klauzul informacyjnych i skutki ich rozszerzenia (np. dane kontaktowe ABI, podstawa prawna przetwarzania danych, pouczenie o profilowaniu, informacja o retencji)
  • nowe warunki dopuszczalności profilowania klientów w celach marketingowych
  • problemy dotyczące przetwarzania danych wrażliwych np. w procesach windykacyjnych, zmiana definicji danych wrażliwych
  • dopuszczalność odbierania od kandydatów do pracy i pracowników informacji lub zaświadczeń dotyczących ewentualnej karalności, monitoring pracowników
  • przechowywanie danych osobowych po wygaśnięciu umowy z klientem
4. Uprawnienia klientów wobec instytucji finansowej jako administratora danych
  • prawo żądania od banku informacji m.in. o treści przetwarzanych danych dotyczących klienta, o ich źródle, o odbiorcach danych
  • prawo żądania odnotowania sprzeciwu wobec marketingu, prawo do sprzeciwu wobec profilowania
  • prawo żądania poprawienia błędnych danych (np. sposób postępowania, gdy żądanie zmiany adresu do korespondencji składa nie klient, lecz właściciel mieszkania)
  • nowe prawo do przenoszenia danych
  • nowe „prawo do bycia zapomnianym”
  • nowe prawo do ograniczenia przetwarzania
  • „domagam się informacji o rachunku i zadłużeniu mojej żony / męża, ponieważ jesteśmy objęciu ustawową wspólnością małżeńską / toczy się postępowanie sądowe o podział majątku”
  • „jakim prawem kseruje pan mój dowód osobisty?”
  • „jakim prawem przekazaliście moje dane firmie windykacyjnej?”, „jakim prawem wysyłacie do mnie smsy windykacyjne bez mojej zgody?”
5. Kolejna zmiana zasad powoływania inspektora ochrony danych (dawniej - administratora bezpieczeństwa informacji)
  • czy powołanie inspektora ochrony danych nadal jest fakultatywne?
  • nowe obowiązki inspektora
  • status i pozycja w inspektora strukturze
6. Przykładowe nowe obowiązki organizacyjne i techniczne
  • analiza ryzyka przed przetwarzaniem danych (privacy risk assessment)
  • uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych (privacy by default)
  • rejestr czynności przetwarzania
  • korzyści wynikające z certyfikacji
7. Środki techniczne i organizacyjne zabezpieczające zbiór danych. Dokumentacja.
  • rejestr czynności przetwarzania
  • zniesienie obowiązku rejestracji zbiorów
  • obowiązek nadania upoważnień do przetwarzania danych osobowych, oznaczenie zakresów upoważnień, forma upoważnień; ewidencja osób upoważnionych do przetwarzania danych i forma jej prowadzenia
  • środki bezpieczeństwa, takie jak polityka „czystego biurka”, nadzór nad dostępem do pomieszczeń, zamykanie dokumentów w odpowiednich szafach, niszczarki wydruków, odpowiednie ustawienie monitorów w sposób wykluczający wgląd osób trzecich, dyskrecja w przekazywaniu informacji chronionych w rozmowie z klientem lub współpracownikiem w obecności osób trzecich, sposoby zabezpieczania dostępu do komputera, wymogi dotyczące haseł do systemu informatycznego
  • sposób spełnienia obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
  • sposób rejestracji zbiorów, wyjątki od obowiązku rejestracji, sposób prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych
8. Obowiązkowy okresowy audyt systemu ochrony danych
9. Zgłoszenie naruszenia ochrony danych osobowych
  • nowy obowiązek - zgłoszenie naruszenia ochrony danych osobowych GIODO
  • nowy obowiązek - zgłoszenie naruszenia ochrony danych osobowych podmiotowi danych
  • procedura, która zapewni, że w ramach struktury administratora danych incydenty będą zgłaszane inspektorowi ochrony danych lub innej wyznaczonej osobie
10. Nowa forma sankcji - grzywny pieniężne nakładane na administratorów danych
11. Powierzenie przetwarzania danych
  • outsourcing jako wyjątek od tajemnicy bankowej
  • umowa o powierzeniu przetwarzania danych osobowych

Mariusz Krzysztofek

Dr hab., radca prawny Mariusz Krzysztofek
Doświadczenie w wykonywaniu funkcji administratora bezpieczeństwa informacji oraz eksperta, audytora i trenera w tej dziedzinie w wielu instytucjach od wejścia w życie przepisów o ochronie danych osobowych, w tym w kilkudziesięciu bankach. Zarządzał ochroną danych osobowych w skali globalnej wykonując tę funkcję w Brukseli w międzynarodowej grupie finansowej, a obecnie jest dyrektorem zarządzającym ochroną danych w EMEA w jednej z największych globalnych firm w sektorze FMCG.
Stopień doktora habilitowanego nauk prawnych uzyskał właśnie w tej dziedzinie. Jest autorem 5 książek na temat ochrony danych, w tym pierwszego komentarza na rynku polskim i pierwszej monografii na anglojęzycznym rynku światowym.
Był wielokrotnie ekspertem działającym na rzecz instytucji publicznych oraz w programach telewizyjnych. Autor projektu zmiany przepisów o tajemnicy bankowej przyjętej przez Ministra Sprawiedliwości. Został odznaczony przez Związek Banków Polskich Odznaką Honorową za działalność edukacyjną na rzecz banków, a także jako „Wzorowy Trener Warszawskiego Instytutu Bankowości” w kolejnych kilku latach.
Członek Rady Programowej kwartalnika „Informacja w Administracji Publicznej” (C.H.Beck). Ekspert zaproszony do współpracy przy analizie zakresu wdrożenia rozporządzenia 2016/679 przez Ministerstwo Cyfryzacji, grudzień 2016.
Jest również absolwentem studiów podyplomowych na Georgetown University i University of Wisconsin – La Crosse w Stanach Zjednoczonych i odbył praktykę w federalnym nadzorze bankowym Stanów Zjednoczonych.