Prawnik od bezpieczeństwa informacji w sektorze bankowym - czym się zajmuje?
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Banki przetwarzają jedne z najbardziej wrażliwych danych - informacje o rachunkach, transakcjach i sytuacji majątkowej klientów. Prawnik specjalizujący się w bezpieczeństwie informacji w sektorze finansowym łączy znajomość przepisów o ochronie danych osobowych, prawa bankowego, regulacji nadzorczych oraz prawa karnego dotyczącego przestępstw komputerowych. Jego rolą jest pomoc w zapobieganiu naruszeniom, w prawidłowym reagowaniu na incydenty oraz w obronie instytucji i osób w razie postępowań. Poniższy tekst odnosi się do realiów polskich i unijnych - nie do regulacji brytyjskich, które pojawiały się w wcześniejszych opracowaniach tego tematu.
Naruszenia danych i obowiązki zgłoszeniowe
Zgodnie z RODO (rozporządzenie 2016/679) administrator danych - a takim jest bank - ma obowiązek zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu, czyli Prezesowi Urzędu Ochrony Danych Osobowych (PUODO), bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Jeżeli naruszenie może powodować wysokie ryzyko dla praw i wolności osób, bank musi też zawiadomić same osoby, których dane dotyczą (art. 34 RODO). Prawnik ocenia, czy dany incydent w ogóle podlega zgłoszeniu, przygotowuje treść zawiadomienia i dokumentuje przebieg zdarzenia w wewnętrznym rejestrze naruszeń.
Zgodność z RODO i kary
Maksymalne kary za naruszenie RODO sięgają 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa - w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 RODO). To realne ryzyko finansowe, dlatego prawnik pomaga wdrożyć dokumentację ochrony danych, analizy ryzyka (DPIA), procedury powierzenia przetwarzania oraz polityki bezpieczeństwa zgodne z RODO i wytycznymi PUODO oraz Europejskiej Rady Ochrony Danych.
Przestępstwa komputerowe i obrona w sprawach karnych
Polskie prawo karne penalizuje m.in. nieuprawniony dostęp do systemu informatycznego (art. 267 Kodeksu karnego), naruszenie integralności danych (art. 268-269a KK) oraz oszustwo komputerowe (art. 287 KK). W sprawach dotyczących sektora bankowego prawnik reprezentuje klientów jako pełnomocnik pokrzywdzonego (np. banku) albo jako obrońca osoby oskarżonej. Analizuje materiał dowodowy, współpracuje z biegłymi z zakresu informatyki śledczej i ocenia, czy zachowanie wyczerpuje znamiona przestępstwa.
Najczęstsze pytania
W jakim terminie bank musi zgłosić naruszenie danych?
Co do zasady bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, do Prezesa Urzędu Ochrony Danych Osobowych (art. 33 RODO). Przy wysokim ryzyku trzeba też zawiadomić osoby, których dane dotyczą.
Jaka jest maksymalna kara za naruszenie RODO?
Do 20 mln euro albo do 4% całkowitego rocznego światowego obrotu - w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 RODO).
Kto nadzoruje bezpieczeństwo danych w bankach w Polsce?
Ochronę danych osobowych nadzoruje Prezes UODO, a działalność banków - Komisja Nadzoru Finansowego (KNF). Podejrzane transakcje zgłasza się do GIIF na podstawie ustawy AML.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę