Bezpieczeństwo danych osobowych w banku

Opublikowano: 07 Sie 2021 Agnieszka Kłak 9 min. czytania

Kategoria: Słownik pojęć finansowych

W jakim celu chronić dane osobowe?

Jedną z najważniejszych kwestii w tematyce RODO, która także była istotną przesłanką do stworzenia tego ustawodawstwa jest bezpieczeństwo danych osobowych klientów wszelkiego rodzaju instytucji. Dane zbierane od klientów, również przez banki, powinny być odpowiednio zabezpieczone i chronione przed ujawnieniem, wyciekiem czy niepożądanym dostępem osób nieuprawnionych. Mogą być one wykorzystywane wyłącznie do celów objętych zgodą właściciela danych i ściśle związanych z działalnością firmy gromadzącej te informacje. Zgodnie z art. 4 pkt.12 RODO: naruszeniem bezpieczeństwa jest prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Odpowiednie zabezpieczenie danych osobowych to jeszcze większe wyzwanie w dobie cyfryzacji i coraz częstszych ataków hakerskich. W przypadku sektora bankowego ryzyko wycieku danych dodatkowo rośnie ze względu na wszelkiego rodzaju rozwiązania internetowe takie jak bankowość elektroniczna czy aplikacje mobilne. Dodatkowo informacje gromadzone przez banki są szczególnie cenne dla przestępców. Jak więc się bronić?

Kto jest odpowiedzialny za bezpieczeństwo danych osobowych?

Obowiązek zabezpieczenia danych osobowych i uchronienia ich przed atakami leży po stronie administratora danych, a więc banku. Zabezpieczeniu podlegają zarówno dane gromadzone w systemach informatycznych jak i te przechowywane w formie papierowej. Jak do zabezpieczeń odnosi się RODO. Kwestia ta jest dość luźno potraktowana. Rozporządzenie nie wymienia żadnych konkretnych metod i form zabezpieczania danych a podaje jedynie przykłady. Poza tym najważniejszy jest efekt, czyli osiągnięcie bezpieczeństwa danych osobowych i zabezpieczenia ich przed kradzieżą czy wyciekiem. Do przykładowych środków bezpieczeństwa wymienianych w RODO należą:

• pseudonimizacja i szyfrowanie danych - dane osobowe przetwarzane są w taki sposób, aby nie było możliwości powiązania ich z właścicielem,
• zapewnienie systemom i usługom przetwarzania ciągłej poufności, integralności, dostępności i odporności,
• zastosowanie takich rozwiązań, które pozwolą na szybkie przywrócenie dostępności danych osobowych i dostępu do nich w razie próby naruszenia bezpieczeństwa lub problemów technicznych,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Decyzja o tym na jakie środki bezpieczeństwa się zdecydować jest pozostawione administratorowi danych. Dzięki temu administrator może wybrać zabezpieczenia w oparciu o stan techniczny swojego przedsiębiorstwa czy koszty wdrożenia konkretnego zabezpieczenia. Powinien on jednak wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania a także ryzyko naruszenia bezpieczeństwa w jego branży. Jeżeli pomimo wszelkich zastosowanych środków bezpieczeństwa dojdzie jednak do naruszenia to administrator danych osobowych będzie musiał wykazać, że zrobił wszystko, aby do takiej sytuacji nie doszło.

Jakie są środki bezpieczeństwa RODO?

W przepisach RODO znajdziemy podział środków bezpieczeństwa na techniczne i organizacyjne. Wśród technicznych środków bezpieczeństwa można wymienić takie działania jak:

• szyfrowanie danych osobowych,
• kody zabezpieczające do logowania,
• szyfrowanie połączeń,
• wykorzystywanie systemu firewall,
• mechanizmy wymuszające zmianę haseł do komputerów i programów komputerowych,
• stosowanie programów chroniących przed wirusami,
• dostęp do komputerów, w których gromadzone są dane po uprzednim zalogowaniu z wykorzystaniem identyfikatora i hasła,
• przechowywanie danych osobowych w formie papierowej w zamkniętych pomieszczeniach zabezpieczonych przed skutkami pożaru, itd.

Wśród organizacyjnych środków bezpieczeństwa RODO wymienia:

• przeszkolenie pracowników z zakresu ochrony danych osobowych,
• udzielenie pracownikom upoważnień do przetwarzania danych osobowych wraz z zastrzeżeniem, iż wyłącznie takie upoważnienie pozwala na dostęp do danych osobowych i ich przetwarzanie,
• prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
• powołanie inspektora ochrony danych osobowych co w banku jest koniecznością,
• opracowanie polityki bezpieczeństwa.

Są to wyłącznie przykłady, z których banki i instytucje finansowe mogą czerpać inspirację przy projektowaniu i wdrażaniu własnych rozwiązań służących zapewnieniu bezpieczeństwa danych osobowych. Dlaczego ustawa o ochronie danych osobowych nie prezentuje gotowego, zamkniętego katalogu środków bezpieczeństwa? Ponieważ ilość możliwości i dostępnych środków jest bardzo duża. Ponadto ciężko jest znaleźć rozwiązania, które będą się sprawdzały w każdej branży, nie ma narzędzi tak elastycznych, aby z jednakową skutecznością mogły używać ich banki, sklepy internetowe i biblioteki. Dodatkowo branża IT rozwija się bardzo dynamicznie i nieustannie odpowiada na zapotrzebowania rynku i klientów. Tym samym bez przerwy tworzone są nowe oprogramowania i narzędzia, które mogą służyć ochronie danych osobowych w różnych sektorach. Najskuteczniejsze rozwiązania bardzo często tworzone są i dopasowywane indywidualnie do potrzeb przedsiębiorcy. Dzięki swojej konstrukcji RODO zezwala na takie podejście.

Aspekty ochrony danych osobowych w bankach

RODO wyróżnia trzy najistotniejsze aspekty bezpieczeństwa danych osobowych, niezależnie od podejmowanych środków bezpieczeństwa. Są to:

• prowadzenie rejestru czynności przetwarzania. Obowiązkiem prowadzenia rejestru obciążony jest bank jako administrator danych osobowych. Najlepiej jest aby rejestr prowadzony był w formie pisemnej. Powinien on zawierać takie informacje jak: imię i nazwisko administratora oraz wszelkich współadministratorów, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
• zgłaszanie naruszeń bezpieczeństwa danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Do dokonania zgłoszenia zobowiązany jest administrator danych osobowych, czyli na przykład bank. Zgłoszenie powinno zostać dokonane bez zbędnej zwłoki jednak nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.
• zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych. W zawiadomieniu powinien zostać opisany charakter naruszenia. Zawiadomienia o naruszeniu bezpieczeństwa danych osobowych należy dokonać w szczególności, jeżeli może to powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Podsumowanie

Dzięki wdrożeniu RODO a także za sprawą nieustannie rozwijających się rozwiązań technologicznych, naruszenia bezpieczeństwa danych osobowych zdarzają się dość rzadko. Pamiętajmy, że jako klienci banku mamy prawo wiedzieć jakie środki bezpieczeństwa są zastosowane względem naszych danych osobowych. Łatwiej jest taką wiedzę wyegzekwować i zinterpretować dzięki podstawowym wskazówkom zaprezentowanym w naszym wpisie na blogu.

Tagi: dane osobowenaruszenia rodorodobank

Zaktualizowano: 25.03.2022

Dodano: 07.08.2021