Dyrektorzy jednostek organizacyjnych Banku i właściciele informacji ponoszą pełną odpowiedzialność za organizację, bezpieczeństwo, przetwarzanie danych osobowych w podległych im jednostkach. Pracownicy natomiast zobowiązani są do przetwarzania danych osobowych zgodnie z nadanym im upoważnieniem wynikającym z zakresu czynności określonego dla zajmowanego przez nich stanowiska. W tym celu Bank Pekao opracowuje i wdraża obligatoryjne programy szkoleniowe dla pracowników na temat ochrony danych osobowych, systematycznie monitorując postęp zrealizowanych szkoleń.
GRI[
-
3-3
Bank oraz podmioty Grupy Pekao przestrzegają ogólnie obowiązujących przepisów prawa i zasad wskazanych w rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych (dalej RODO).
Dane osobowe są przetwarzane w Banku Pekao zgodnie z przepisami prawa i z dołożeniem szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.
Bank Pekao jest zarówno administratorem danych, jak i podmiotem przetwarzającym w rozumieniu przepisów RODO i ponosi pełną odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych, w szczególności uwzględniając zasady dotyczące przetwarzania danych osobowych wskazane w RODO, takie jak:
- Zasada zgodności z prawem, rzetelności, przejrzystości i prawidłowości poprzez przetwarzanie danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit. a) i d) RODO),
- Zasada ograniczenia celu poprzez uwzględnienie, iż dane zbierane są w konkretnych wyraźnych i prawnie uzasadnionych celach (art. 5 ust. 1 lit. b). RODO),
- Zasada minimalizacji poprzez uwzględnienie, iż zakres przetwarzanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu. (art. 5 ust. 1 lit. c). RODO),
- Zasada integralności i poufności poprzez zastosowanie przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych (art. 5 ust. 1 lit. f) RODO),
W celu zagwarantowania kompleksowych działań w obszarze ochrony danych osobowych w Banku prowadzony był projekt mający na celu przygotowanie organizacji na spełnienie wymogów wynikających z RODO, w wyniku którego została przeprowadzona analiza działalności Banku pod kątem zgodności z wymaganiami wskazanymi w RODO w zakresie systemów IT, procesów, regulacji wewnętrznych, a także wykonywanych operacji i wzorów dokumentów.
W wyniku prowadzonej analizy określono zakres niezbędnych działań do realizacji przez Bank oraz wdrożono szereg regulacji wewnętrznych odnoszących się do poszczególnych obszarów funkcjonowania Banku. Do regulacji tych należą:
- Polityka Bezpieczeństwa Informacji wraz z Dokumentami Polityki Bezpieczeństwa Informacji,
- Metodyka zarządzania ryzykiem naruszenia praw lub wolności osób fizycznych w Banku Pekao S.A. (Metodyka PIA),
- Zasady ochrony danych osobowych oraz zasady pozyskiwania zgód na podejmowanie przez Bank działań w celu marketingu bezpośredniego w Banku Polska Kasa Opieki Spółka Akcyjna,
- Rejestr czynności przetwarzania oraz Rejestr kategorii czynności przetwarzania prowadzony przez Bank Polska Kasa Opieki Spółka Akcyjna,
- Zasady nadawania osobom zatrudnionym w Banku – upoważnień do przetwarzania danych osobowych oraz upoważnień do dostępu do informacji Banku,
- Procedura rozpatrywania żądań osób, których dane dotyczą na gruncie RODO przez Bank Polska Kasa Opieki Spółka Akcyjna,
- Polityka Retencji danych osobowych w Banku Polska Kasa Opieki Spółka Akcyjna,
- Procedura zarządzania naruszeniami ochrony danych osobowych w Banku Pekao S.A.,
- Zasady i tryb postępowania w Banku Polska Kasa Opieki Spółka Akcyjna w związku ze zlecaniem usług, którym towarzyszy przetwarzanie danych osobowych,
- Polityka bezpieczeństwa aplikacji w Banku Polska Kasa Opieki Spółka Akcyjna,
- Zasady ochrony oraz sposób postępowania z informacjami w Banku Polska Kasa Opieki Spółka Akcyjna,
- Ochrona informacji elektronicznej w Banku Polska Kasa Opieki S.A.
Aspekt ochrony danych osobowych uwzględniony jest także w bieżącej działalności Departamencie Inspektora Ochrony Danych (dalej: „IOD”) przy opiniowaniu nowych procesów, projektów oraz inicjatyw, jak i analizie regulacji wewnętrznych czy umów zawieranych przez Bank pod kątem danych osobowych. IOD oraz Departament IOD, jak również Departament Bezpieczeństwa Banku, weryfikuje nowe rozwiązania technologiczne w celu zapewnienia przestrzegania wymogów i zasad wskazanych w RODO oraz jak najwyższego poziomu bezpieczeństwa przetwarzanych danych osobowych.
Bank zdecydował ponadto o wdrożeniu zasad ochrony danych osobowych w zakresie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych. Powołano Operacyjne Centrum Bezpieczeństwa (OCC), jednostkę czuwającą nad nieuprawnionym dostępem do danych (w tym danych osobowych), a także (poprzez działające w Banku systemy) mającą na celu zapobieganie wyciekowi tych danych.
GRI[
-
418-1
| BANK PEKAO | 2021 | 2022 |
|---|---|---|
| Skargi otrzymane od podmiotów zewnętrznych i poparte przez organizację | 0 | 0 |
| Skargi od organów regulacyjnych w 2022 roku | 61 nowych skarg (bez kontynuacji) |
47 nowych skarg (bez kontynuacji) |
| Całkowita liczba zidentyfikowanych wycieków, kradzieży lub utraty danych klientów | 20 | 17 |