PKO Bank Polski SA, zgodnie z powszechnie obowiązującymi przepisami, w tym ustawą o ochronie danych osobowych, posiada wewnętrzne przepisy dotyczące ochrony danych osobowych, w tym instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Wspomniane regulacje dotyczą zasad przetwarzania danych osobowych w Banku, w szczególności sposobu ich przetwarzania oraz środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych. Dodatkowo w Banku obowiązują m.in. regulacje w zakresie:
- bezpieczeństwa informacji chronionych,
- bezpieczeństwa systemu informatycznego,
- ochrony osób i mienia,
- zarządzania incydentami bezpieczeństwa,
- prowadzenia postępowań wyjaśniających,
- opracowywania i wdrażania mechanizmów bezpieczeństwa.
Powyższe przepisy wewnętrzne Banku uzupełniają
- regulacje dotyczące bezpośrednio danych osobowych w obszarach bezpieczeństwa fizycznego i informatycznego oraz
- regulacje w zakresie postępowań wyjaśniających związanych z naruszeniami bezpieczeństwa danych osobowych, tworząc tym samym siatkę przepisów wewnętrznych regulujących w sposób kompleksowy zagadnienie ochrony danych osobowych w Banku.
Zarządzanie ryzykiem nieuprawnionego dostępu do informacji o klientach
Ryzyko nieuprawnionego dostępu do informacji o klientach zarządzane jest zgodnie z Polityką bezpieczeństwa Banku. Polityka ta reguluje zasady poufności informacji i zachowania tajemnicy bankowej oraz bezpieczeństwa danych osobowych, w tym szczegółowo odpowiedzialność pracowników Banku w zakresie ochrony danych osobowych. Zgodnie z powyższymi zasadami:
- Dostęp do informacji chronionych w Banku posiadają pracownicy wyłącznie w zakresie powierzonych zadań i obowiązków służbowych.
- Pracownicy przed rozpoczęciem przetwarzania informacji chronionych realizują szkolenia z zakresu bezpieczeństwa informacji chronionych.
- W przypadku udostępniania podmiotom zewnętrznym materiałów zawierających informacje chronione zawierana jest pomiędzy stronami umowa o zachowaniu poufności, zaś w przypadku powierzenia przetwarzania danych osobowych, zawierana jest umowa o powierzeniu przetwarzania danych osobowych.
Każdy z pozostałych podmiotów Grupy Kapitałowej przetwarzający dane osobowe, na którym spoczywa obowiązek posiadania odpowiednich regulacji w tym zakresie, przepisy takie posiada i stosuje je w praktyce. Są one zgodne z powszechnie obowiązującymi przepisami oraz ze standardami stosowanymi w Banku, a w niezbędnym zakresie zawierają regulacje szczególne adekwatne do specyfiki działalności konkretnego podmiotu.
W 2017 r. w żadnym podmiocie Grupy Kapitałowej, w tym w Banku, nie odnotowano przypadków „wycieku” lub nieuprawnionego wykorzystania danych osobowych przetwarzanych w tych podmiotach oraz nie były prowadzone żadne postępowania administracyjne w tym obszarze (np. przez Generalnego Inspektora Ochrony Danych Osobowych), które zakończyłyby się nałożeniem kary finansowej.
