Persondatapolitik
1. Indledning
I medfør af lov om finansiel virksomhed og bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. har bestyrelsen vedtaget følgende politik for behandling af personoplysninger (persondatapolitik) i Facit Bank A/S (i det følgende: Banken).
Det er vurderingen, at behandling af personoplysninger, herunder manglende efterlevelse af databeskyttelseslovgivningen er en operationel risiko, som i videst muligt omfang skal minimeres. Dette skal blandt andet ske ved at forankre den nødvendige opmærksomhed og de nødvendige procedurer ned gennem hele organisationen. Et af midlerne til at sikre dette, er en persondatapolitik, som fastsætter de overordnede strategiske mål i relation til at overholde gældende databeskyttelseslovgivning, herunder ikke mindst de registreredes rettigheder (f.eks. kunder, medarbejdere og eksterne samarbejdspartnere).
Persondatapolitikken er inddelt i følgende hovedemner:
1. Indledning
2. Lovgrundlag
3. Anvendelsesområde
4. Risici reguleret af denne politik
5. Bankens risikoprofil på persondataområdet
6. Risikofaktorer
7. Risikobegrænsende tiltag
8. Organisatorisk ansvarsfordeling
9. Kontroller og rapportering
10. Opfølgning og revision
11. Ikrafttræden
2. Lovgrundlag
Persondatapolitikken tager udgangspunkt i EU’s databeskyttelsesforordning samt den nationale følgelovgivning, herunder databeskyttelsesloven, lov om finansiel virksomhed §§ 117-123, TV-overvågningsloven (databeskyttelseslovgivningen).
3. Anvendelsesområde
Denne politik finder anvendelse på enhver form for behandling af personoplysninger, hvad enten behandlingen sker automatisk eller manuelt, eller opbevaringen sker i et fysisk arkiv eller i et elektronisk system.
Persondatasikkerhedspolitikken gælder
- alle enheder af Banken,
- alle ansatte,
- alle eksterne samarbejdspartnere med hvem der udveksles forretningskritiske data eller persondata,
- alle konsulenter og andre eksterne parter som har adgang til forretningskritiske data eller persondata,
- såvel elektronisk lagrede data som fysisk lagrede data (f.eks. dokumenter og andre ikke elektroniske medier), samt
mundtlig videreformidling af persondata og forretningskritiske data.
4. Risici reguleret af denne politik
Ved risiko i relation til persondata menes den iboende risiko for, at Banken ikke efterlever databeskyttelses-lovgivningen eller bliver udsat for databrud, der indebærer krænkelser af fysiske personers rettigheder eller frihedsrettigheder.
5. Bankens risikoprofil på persondataområdet
Det er Bankens hensigt, via overholdelse af databeskyttelseslovgivningen at minimere risikoen for direkte eller indirekte tab som følge af overtrædelse af lovgivningen eller datasikkerhedsbrud.
Persondatapolitikken har overordnet til formål at
- sikre at der i Banken opretholdes et datasikkerhedsniveau som løbende er afstemt med forretningens krav og udvikling, den anvendte teknologi og digitalisering, de til enhver tid gældende eksterne lovgivningskrav, og det aktuelle trussels- og risikobillede.
6. Risikofaktorer
6.1 Medarbejdere
Identifikation og afgrænsning af risikofaktoren ved Bankens medarbejdere:
Det er medarbejderne, der i det daglige behandler kundernes personoplysninger, og af samme grund er det af afgørende betydning, at medarbejderne behandler kundeoplysninger korrekt og med den nødvendige fortrolighed. Fejl eller forsømmelse begået af medarbejderne kan have store konsekvenser for persondata-sikkerheden. Medarbejdere udgør som følge heraf en væsentlig operationel risiko.
6.2 IT-systemer/IT-sikkerhed
Identifikation og afgrænsning af risikofaktoren ved Bankens IT-systemer:
Bankens behandling af persondata er i dag elektronisk og foregår i Bankens IT-systemer. Bankens IT-systemer indeholder således mange oplysninger om kunder, medarbejdere med videre, som ikke må komme til uvedkommendes kendskab.
Det kan have store konsekvenser for Banken, herunder påføre Banken et tab, hvis dens IT-systemer kompromitteres, og det er derfor også Bankens vurdering, at Bankens IT-systemer/IT sikkerhed udgør en operationel risiko, som gennem risikobegrænsende tiltag skal minimeres.
6.3 Eksterne databehandlere
Identifikation og afgrænsning af risikofaktoren ved eksterne databehandlere:
Banken lader i en række tilfælde eksterne parter foretage databehandling på Bankens vegne. Det drejer sig blandt andet om Bankens datacentral og databehandlere, samt Bankens låneformidlende samarbejdspartner.
Det vurderes, at Bankens databehandlere udgør en operationel risiko, da eventuelle fejl eller forsømmelser fra deres side i forhold behandling af personoplysninger på vegne af Banken kan påføre Banken et tab.
6.4 Eksterne samarbejdspartnere
Identifikation og afgrænsning af risikofaktoren ved Bankens eksterne samarbejdspartnere:
Banken indgår i en række tilfælde samarbejder med eksterne parter, hvor der sker en udveksling af personoplysninger, herunder kundeoplysninger. Hvis disse personoplysninger kompromitteres som følge af fejl eller forsømmelse fra de eksterne samarbejdspartnere, kan dette påføre Banken et tab. Det vurderes, at Bankens eksterne samarbejdspartnere som følge heraf udgør en operationel risiko.
6.5 Eksterne serviceleverandører
Identifikation og afgrænsning af risikofaktoren ved Bankens eksterne samarbejdspartnere:
Banken anvender eksterne serviceleverandører, som f.eks. rengøringspersonale eller eksterne konsulenter, der kan eller allerede har fået adgang til personoplysninger, som Banken er ansvarlig for. Dette har en iboende operationel risiko, da manglende fejl eller forsømmelse fra nævntes side, kan påføre Banken et tab.
6.6 Bankens kundesammensætning
Som følge af at alle Bankens kunder er distancekunder, og Banken således ikke møder kunderne fysisk, vil kundelegitimation og korrespondance med kunder primært foregå ved brug af IT-systemer, hvor kunden selv indtaster oplysninger samt telefonisk opfølgning. Det vurderes, at der i forretningsmodellen er en iboende operationel risiko.
7. Risikobegrænsende tiltag
På baggrund af risikovurderingen har Banken indført følgende tiltag for at sikre efterlevelse af databeskyttelseslovgivningen, herunder minimere risikoen for datasikkerhedsbrud.
7.1 Forretningsgange og procedurer:
Banken har indført følgende forretningsgange:
- Privatlivspolitik for privatkunder (behandling af kundeoplysninger).
- Privatlivspolitik for jobansøgere og medarbejdere (behandling afansøger-/medarbejderoplysninger).
Det vurderes, at Banken hermed har begrænset den iboende risiko for, at Banken overtræder lovgivningen, herunder blive gjort ansvarlig for datasikkerhedsbrud.
7.2 Awareness
Bankens medarbejdere undervises via e–learning, informationsmøder samt løbende undervisning i forhold med relation til håndtering af persondata med henblik på at sikre den fornødne awareness hos de enkelte medarbejdere.
7.3 Medarbejderkompetencer
Medarbejderne skal besidde en faglighed, som sætter den enkelte medarbejder i stand til på kvalificeret vis at håndtere Bankens persondatarisiko inden for deres faglige områder. Kvalifikationerne afspejler indholdet af den konkrete jobfunktion og kan hidrøre fra uddannelse, særligt branchekendskab og erhvervserfaring i øvrigt. Kvalifikationskravene for de enkelte jobfunktioner fastsættes af nærmeste leder.
7.4 Databehandleraftaler og outsourcing
Ved brug af databehandlere vil der blive udarbejdet en databehandlingsaftale, som fastsætter genstanden og varigheden af behandlingen, behandlingens karakter og formål, typer af personoplysninger og kategorierne af de registrerede, samt parternes rettigheder og forpligtelser.
7.5 Fortrolighedserklæring
Samarbejds- og servicepartnere vil efter en konkret vurdering blive bedt om at underskrive en fortrolighedserklæring.
7.6 Udpegning af Databeskyttelsesrådgiver (DPO)
Banken udpeger en DPO til varetagelse af rollen som Databeskyttelsesrådgiver.
Banken har udpeget Amina Zhaian hos samarbejdspartneren 3C Retail til DPO.
7.7 Databeskyttelse gennem design og standardindstillinger
Banken vil i overensstemmelse med databeskyttelseslovgivningen både i forbindelse med anskaffelses- og udviklingsfasen af IT-systemer – og på tidspunktet for selve behandlingen, gennemføre passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af data-beskyttelsesprincipper og opfyldelse af kravene i databeskyttelsesforordningen og beskytte de registreredes rettigheder.
8. Organisatorisk ansvarsfordeling
8.1 Bestyrelsen
Bestyrelsen har i fællesskab med direktionen det overordnede ansvar for, at databeskyttelseslovgivningen efterleves. Bestyrelsen har mere konkret ansvar for følgende opgaver:
Bestyrelsen skal:
- Vedtage en overordnet persondatapolitik.
- Efter oplæg fra direktionen tage stilling til, om Banken skal udpege en DPO.
- I givet fald godkende rammerne for DPO’ens funktion.
- Godkende eventuel indstilling fra direktionen om afskedigelse af DPO’en.
8.2 Direktionen
Direktion har i fællesskab med bestyrelsen det overordnede ansvar for, at databeskyttelseslovgivningen efterleves. Direktionen har mere konkret ansvar for følgende opgaver:
Direktionen skal:
- Sikre, at de fornødne ressourcer er til rådighed, således at databeskyttelseslovgivningen kan efterleves i hele organisationen.
- Bidrage til fælles forståelse af vigtigheden af at overholde gældende databeskyttelseslovgivning.
- Udstede instruks til DPO.
- Inddrage DPO’en tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger i Banken.
- Forelægge indstilling om eventuel afskedigelse af DPO´en for bestyrelsen til endelig godkendelse.
8.3 DPO'ens ansvar
- DPO’ens ansvar er særskilt beskrevet i en instruks udstedt af direktionen.
8.4 HR's ansvar
HR har følgende konkrete opgaver:
HR skal:
- Udarbejde og vedligeholde procedurer for at sikre, at medarbejdernes HR-oplysninger behandles lovligt.
- Udarbejde og vedligeholde procedurer, som sikrer den rette awareness og de rette kompetencer hos de enkelte medarbejdere.
HR opgaven er outsourcet til Bankens samarbejdspartner 3C Retail.
8.5 Medarbejderes ansvar
Medarbejdere har følgende konkrete forpligtelser:
Medarbejdere skal:
- Efterleve Bankens politikker, forretningsgange og øvrige procedurer inden for deres arbejdsområde, der vedrører Bankens behandling af personoplysninger.
- Deltage i eventuelle informations- og undervisningsaktiviteter.
- Have generel opmærksomhed på beskyttelse af personoplysninger i forbindelse med ansættelsen i Banken.
- Ved mistanke om datasikkerhedsbrud underrette nærmeste leder om denne mistanke.
9. Kontroller og rapportering
For at sikre, at Banken løbende opretholder et passende datasikkerhedsniveau og udbygger sikkerheden når ændringer i f.eks. procedurer, persondata, IT-systemer og risici kræver det, udføres løbende kontroller af forskellig slags.
Egenkontroller udføres løbende hen over året eller i særlige situationer i og af afdelingerne på baggrund af egenkontrolskemaet og det udarbejdede kontrolværktøj.
DPO udføre kontroller løbende hen over året og i særlige situationer. DPO fører overordnet kontrol med at de samlede datasikkerhedsforanstaltninger er på plads og i orden. Disse kontroller udføres såvel med varsel som uden varsel.
Eksterne kontroller udføres enten efter aftale med DPO af et revisionsfirma eller andet firma med særlig teknisk sikkerhedsviden eller udføres af tilsynsmyndighederne på eget initiativ eller evt. på anmodning fra en eller flere registrerede.
10. Opfølgning og revision
Den udpegede DPO gennemgår løbende og mindst en gang årligt politikken og foretager de fornødne tilpasninger, hvorefter den forelægges direktionen inden endelig godkendelse af bestyrelsen.
11. Ikrafttræden
Politikken træder i kraft ved bestyrelsens godkendelse af politikken.