Bezpieczeństwo klientów i ich środków

GRI: 

Bezpieczeństwo klientów w procesie korzystania z produktów

  • GRI:
  • 2-23

Jednym z priorytetów Banku jest wyznaczanie najwyższych standardów bezpieczeństwa. Bezpieczeństwo klientów w procesie korzystania z produktów Banku i Grupy Kapitałowej Banku obejmuje przede wszystkim bezpieczeństwo środków klientów, ale także bezpieczeństwo fizyczne klientów w obiektach Banku. Kwestię bezpieczeństwa określają przepisy wewnętrzne Banku, w tym Polityka Bezpieczeństwa w PKO Banku Polskim S.A. oraz, szczegółowo, przepisy dotyczące konkretnych obszarów bezpieczeństwa:

  • ochrony osób i mienia
  • bezpieczeństwa systemu informatycznego
  • zarządzania incydentami bezpieczeństwa
  • bezpieczeństwa informacji chronionych

Działania Banku i pozostałych podmiotów Grupy Kapitałowej Banku na rzecz bezpieczeństwa środków klientów dotyczą zarówno zapewnienia bezpieczeństwa powierzonych środków, jak też bezpieczeństwa środków inwestowanych za pomocą oferowanych produktów. Inicjatywy w zakresie zapewnienia stabilnej i bezpiecznej infrastruktury pozwoliły osiągnąć bardzo wysokie wskaźniki niezawodności infrastruktury informatycznej.

Bezpieczeństwo inwestowanych środków: Bank dokłada wszelkiej staranności, aby jego produkty nie generowały ryzyka utraty środków przez klientów. Ma to szczególne znaczenie w przypadku produktów inwestycyjnych. Dlatego też Bank w ramach obowiązków nałożonych przez Dyrektywę MiFID, informuje klientów przed transakcją czy dany produkt jest dla nich odpowiedni.

Bezpieczeństwo powierzonych depozytów: Podstawowym mechanizmem gwarancji bezpieczeństwa środków klientów jest stabilność wyniku finansowego Banku i pozostałych podmiotów Grupy Kapitałowej Banku. Dodatkowym mechanizmem jest uczestnictwo Banku w obowiązkowym systemie gwarantowania wkładów, który funkcjonuje na podstawie ustawy o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.

Bezpieczeństwo środków klientów gwarantują także procedury cyberbezpieczeństwa.

Bank i pozostałe podmioty Grupy Kapitałowej Banku zapewniają klientom w swych placówkach najwyższą jakość obsługi bezpośredniej, m.in. dzięki wdrożonym standardom bezpieczeństwa spełniającym wymagania przepisów prawa i norm. W obiektach Banku stosuje się odpowiednie do zidentyfikowanych zagrożeń i ryzyka nowoczesne systemy i urządzenia zabezpieczeniowe oraz rozwiązania techniczne i organizacyjne zapewniające fizyczne bezpieczeństwo klientów, pracowników, gotówki i depozytów oraz bezpieczeństwo informacji chronionych, w tym tajemnicy bankowej i danych osobowych.

Ochrona obejmuje wszystkie udostępniane klientom placówki i urządzenia samoobsługowe i ma formę:

  • zabezpieczeń technicznych (budowlanych, mechanicznych i elektronicznych, w tym systemy: sygnalizacji włamania i napadu, telewizji dozorowej i kontroli dostępu),
  • bezpośredniej stałej ochrony fizycznej wybranych obiektów Banku,
  • monitorowania sygnałów alarmowych przez koncesjonowane przedsiębiorstwa ochrony i dojazdu tzw. grup interwencyjnych po odebraniu sygnałów alarmowych.

Ponadto pracownicy oddziałów i agencji Banku podlegają szkoleniom z zakresu bezpieczeństwa w formie e-learningu oraz szkoleniom realizowanym bezpośrednio w oddziałach, z ćwiczeniami nt. „Przeciwdziałanie napadom i postępowanie w sytuacjach zagrożenia bezpieczeństwa”. Szkolenia te przygotowują pracowników Banku i agencji do radzenia sobie w różnych sytuacjach zagrażających bezpieczeństwu pracowników i klientów Banku.

Cyberbezpieczeństwo

Bank posiada politykę bezpieczeństwa, która odnosi się również do zasad bezpieczeństwa cyfrowego. Zarząd przyjął tę politykę w 2015 roku. W Banku funkcjonuje Departament Cyberbezpieczeństwa, który zajmuje się:

  •  zapewnianiem bezpieczeństwa systemu informatycznego Banku,
  •  rozwojem systemów oraz monitorowaniem parametrów cyberbezpieczeństwa i usług krytycznych,
  •  zapewnianiem obsługi zdarzeń i incydentów dotyczących cyberbezpieczeństwa, w tym zdarzeń i incydentów w zakresie bankowości elektronicznej.

Za kontrolę aktualnego poziomu bezpieczeństwa infrastruktury odpowiada dyrektor tego departamentu. Podlega mu również Operacyjne Centrum Bezpieczeństwa (SOC – Security Operations Centre). Za realizację polityki cyberbezpieczeństwa i kontrolę cyberbezpieczeństwa odpowiada dyrektor Departamentu Cyberbezpieczeństwa. Nadzór nad realizacją tych funkcji sprawuje wiceprezes Zarządu odpowiedzialny za Obszar Technologii. Nadzór nad realizacją polityki sprawuje prezes Zarządu. Aby doskonalić metody przeciwdziałania przestępstwom Departament Cyberbezpieczeństwa przygotowuje analizy i przedstawia Zarządowi i Radzie Nadzorczej Banku wnioski i rekomendacje dotyczące wdrożenia lub modyfikacji rozwiązań.

Monitorowaniem i reagowaniem na incydenty zajmuje się w Banku specjalistyczna komórka CERT PKO Banku Polskiego S.A. Aby zapewnić bezpieczeństwo informatyczne usług Banku w zakresie reagowania na incydenty wdrożono tryb pracy 24/7/365.

Od 2021 roku działa w Banku CyberSecurity Operations Center obejmujące również monitoring i reagowanie na incydenty w spółkach Grupy Kapitałowej Banku. Całodobowy SOC działa w oparciu o system klasy SOAR pozwalający na automatyzację w zakresie monitoringu, reagowania jak i obsługi incydentów bezpieczeństwa. W 2023 roku CERT PKO BP zgłosił i zablokował, we współpracy z CSIRT KNF, CERT Polska oraz CERT Orange, ponad 1 930 fałszywych stron. Celem oszustw były głównie usługi elektroniczne i klienci Banku, ale 20% zgłoszeń dotyczyło wyłudzeń innego typu, co pokazuje wkład zespołu CERT PKO BP w ogólny poziom bezpieczeństwa teleinformatycznego w polskiej cyberprzestrzeni. Bank korzysta z zaawansowanych mechanizmów ochrony przed atakami DDoS co pozwala CERT PKO BP na szybkie i sprawne reagowanie oraz usuwanie skutków ataków wolumetrycznych skierowanych na usługi bankowości elektronicznej.

CERT PKO BP jest członkiem międzynarodowego forum zrzeszającego zespoły reagujące na incydenty cyberbezpieczeństwa FIRST oraz należy do grupy roboczej europejskich zespołów reagujących (TERENA TF-CSIRT) i działającej przy niej organizacji Trusted Introducer. Jest też wiodącym uczestnikiem Bankowego Centrum Cyberbezpieczeństwa działającego pod patronatem Związku Banków Polskich.

Bank systematycznie edukuje pracowników w zakresie bezpieczeństwa środowiska teleinformatycznego oraz bezpieczeństwa informacji przetwarzanych w tym środowisku. Udostępnia pracownikom szkolenia e-learningowe dotyczące cyberbezpieczeństwa (10 modułów), dzięki którym użytkownicy zdobywają wiedzę dotyczącą potencjalnych zagrożeń. Powyższe szkolenia są obowiązkowe dla nowych pracowników. Bank realizuje szkolenia zgodnie z ustalonym harmonogramem i na bieżąco monitoruje ich realizację w ramach niezależnego monitorowania mechanizmów kontrolnych.

Zgodnie z polityką Banku zasad cyberbezpieczeństwa muszą przestrzegać również podmioty zewnętrzne (wykonawcy). Bank określa wymagania bezpieczeństwa dla dostawców usług IT w zakresie ochrony informacji, dostępu do budynków i pomieszczeń oraz ochrony systemów informatycznych Banku.

Podnoszeniu wiedzy pracowników służy też program symulowanych ataków phishingowych. Wiadomości wysyłane są do wszystkich zatrudnionych w Banku osób i imitują rzeczywiste zagrożenia, na jakie narażeni są na co dzień użytkownicy. Od 2022 roku cyklicznie przeprowadzany jest trening Security Awareness, którym objęto wszystkich pracowników oraz Zarząd Banku.

W Banku działa wewnętrzna komórka (RedTeam), która symuluje w sposób kontrolowany potencjalne ataki w celu identyfikacji słabych punktów jeszcze przed ich wykorzystaniem przez przestępców. Działania symulujące ataki zostały zautomatyzowane m.in. poprzez wdrożenie narzędzia klasy BAS (Breach and Attack Simulation). W 2023 roku rozpoczęto aktywne działanie komórki Purple Team wraz ze zbudowaniem platformy do współpracy zespołów ofensywnych i defensywnych.

W odpowiedzi na trendy związane z atakami na środowiska korporacyjne, w zakresie technologii aktualnie implementowanych w Banku na różnych poziomach, szczególną uwagę zwracano na bezpieczeństwo:

  •  wykorzystania oprogramowania „open source” w procesach wydawania aplikacji (CI/CD),
  •  implementacji narzędzi opartych o generatywną sztuczną inteligencję (genAI), wspierających procesy biznesowe (m. in. komunikacja z klientami, holistyczna analityka),
  •  narzędzi opartych o technologię Blockchain i środowiska chmurowe.

W 2023 roku szeroko analizowano informacje w ramach ThreatIntelligence w zakresie działań realizowanych w cyberprzestrzeni związanych z konfliktem Rosja/Ukraina z jednoczesnym uwzględnieniem zagrożeń, które mogą się zmaterializować w Banku. Jednocześnie w związku z ciągle wysokim zagrożeniem wynikającym z fałszywych inwestycji i ataków phishingowych wdrożono system do identyfikacji trendów ataków na klientów oparty o zgłoszenia klientów. System ma na celu monitorowanie zmian w scenariuszach ataków na klientów.

Bank na bieżąco reaguje na zagrożenia w obszarze cyberbezpieczeństwa. Monitoruje źródła informacji, tworzy scenariusze potencjalnych zagrożeń, analizuje ryzyko, wdraża zabezpieczenia oraz w sposób zorganizowany reaguje na incydenty. W Banku funkcjonuje sformalizowany proces weryfikacji bezpieczeństwa i podatności nowych lub modyfikowanych systemów i aplikacji przed dopuszczeniem ich do produkcji. Każda zmiana projektowa która dotyczy systemu kluczowego dla procesów biznesowych, jest analizowana i poddawana audytowi bezpieczeństwa IT.

Audyt wewnętrzny obejmuje procesy IT minimum raz w cyklu 3-letnim. Wybór procesów IT do audytu wewnętrznego w danym roku zależy m.in. od: wyników przeprowadzonych audytów wewnętrznych, zmian środowiska teleinformatycznego, ryzyk związanych ze zidentyfikowanymi oszustwami wewnętrznymi i zewnętrznymi oraz zmian w przepisach wewnętrznych i zewnętrznych wpływających na funkcjonowanie i działalność operacyjną Banku. Wewnętrzne audyty procesów IT realizuje Zespół Audytu IT i Bezpieczeństwa, zgodnie z ustalonym harmonogramem. Audyty zewnętrzne cyberbezpieczeństwa są zlecane firmom audytowym z którymi Bank ma podpisane umowy ramowe.

Według Banku oraz PKO Towarzystwa Funduszy Inwestycyjnych S.A. najistotniejszym zagrożeniem dla bezpieczeństwa klientów są potencjalne przestępcze działania osób trzecich, wymierzone w klientów korzystających z elektronicznych kanałów dostępu do usług bankowych i inwestycyjnych.

Po pierwsze, w Banku stosowane są najnowsze rozwiązania bezpieczeństwa teleinformatycznego gwarantujące klientom bezpieczny dostęp do swoich środków. Bank stale podnosi jakość zabezpieczenia systemów IT, w szczególności w zakresie aplikacji wykorzystywanych przez klientów. Dotyczy to m.in. aktywnego zwalczania stron phishingowych podszywających się pod serwisy Banku, identyfikacji zamiarów oraz zdolności przestępców z uwzględnieniem taktyk, technik i procedur (normalizacja i ustrukturyzowanie informacji o zagrożeniach w jednym modelu danych), śledzenia rozwoju złośliwego oprogramowania atakującego klientów Banku, rozwoju mechanizmów wykrywania zainfekowanych komputerów klientów oraz doskonalenia reguł i rozszerzania zakresu monitoringu transakcji elektronicznych.

Po drugie, Bank przywiązuje bardzo dużą wagę do informowania i podnoszenia świadomości klientów na temat bezpiecznego korzystania z bankowości elektronicznej i kart płatniczych. Dzieje się tak dlatego, że bezpieczeństwo w tym zakresie uzależnione jest w znacznej mierze od działań użytkownika. Działania edukacyjne Banku to między innymi:

  • regularne kampanie edukacyjne realizowane w mediach społecznościowych oraz innych kanałach służących do kontaktu z klientami np. portal edukacyjny www.bankomania.pkobp.pl,
  •  filmy z przykładami realnych ataków publikowane w serwisie YouTube,
  •  artykuły edukacyjne w mediach elektronicznych oraz prasie,
  •  webinary oraz szkolenia z najczęściej występujących ataków,
  •  bieżące odpowiedzi na zapytania klientów (e-mail, media społecznościowe),
  •  spotkania stacjonarne dla klientów oraz osób zainteresowanych bankowością dotyczące najpopularniejszych oszustw (skierowane dla seniorów, przedsiębiorców i studentów),
  •  bieżące przekazywanie mediom stanowiska Banku i materiałów edukacyjnych na temat cyberprzestępstw i zasad bezpieczeństwa,
  •  bieżące kampanie i szerzenie wiedzy w zewnętrznych kanałach informacyjnych (obecnie trwa współpraca z radiem polegająca na udziale w audycjach dotyczących cyberbezpieczeństwa),
  •  bieżące reagowanie na inne sygnały dotyczące zagrożeń,
  •  przekazywanie klientom informacji nt. cyberbezpieczeństwa poprzez strony internetowe Banku, serwis transakcyjny i mailingi.

W 2023 wdrożono mechanizmy wykrywania i prewencji przeciw atakom typu „vishing” polegających na próbach podszywania się pod infolinię Banku i nakłaniania w ten sposób Klientów Banku do realizacji scenariuszy oszustw.

W 2023 roku Bank doskonalił systemy wykrywania incydentów, anomalii oraz zaawansowanych typów złośliwego oprogramowania. Automatyzował także wiele działań związanych z obsługą incydentów. Zapewnił aktualność technologiczną rozwiązań do informatyki śledczej zgodnie z aktualnym profilem wymagań.

Dodatkowo, przedstawiciele Banku angażują się w prace Bankowego Centrum Cyberbezpieczeństwa (BCC) przy Związku Banków Polskich. Celem BCC są kompleksowe i długofalowe działania na rzecz zwiększenia poziomu bezpieczeństwa bankowości mobilnej i elektronicznej oraz przygotowanie narzędzi (struktury, procedury, mechanizmy wymiany informacji) umożliwiających zarządzanie sytuacją kryzysową (np. w przypadku zmasowanego ataku).

Bank nie posiada certyfikacji w zakresie ISO 27001, jednak procesy i przepisy w zakresie cyberbezpieczeństwa tworzy w oparciu o wymagania tej normy. Wysoka dojrzałość organizacyjna w obszarze obsługi incydentów cyberbezpieczeństwa jest szczególnie istotna w świetle decyzji KNF z 2018 roku o uznaniu PKO Banku Polskiego S.A. za operatora usługi kluczowej w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa.

Ryzyko naruszenia prywatności

PKO Bank Polski S.A. działa zgodnie z powszechnie obowiązującymi przepisami, w tym z:

  • rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych zwane RODO),
  • ustawą z 10 maja 2018 roku o ochronie danych osobowych,

a także posiada wewnętrzne przepisy dotyczące bezpieczeństwa informacji chronionych uwzględniające kwestie ochrony danych osobowych.

Wspomniane przepisy wewnętrzne dotyczą zasad przetwarzania danych osobowych w Banku, w szczególności sposobu ich przetwarzania oraz środków technicznych i organizacyjnych zapewniających bezpieczeństwo procesu.

W Banku w zakresie bezpieczeństwa obowiązują przepisy wewnętrzne dotyczące w szczególności:

  • bezpieczeństwa informacji chronionych,
  • bezpieczeństwa systemu informatycznego,
  • ochrony osób i mienia,
  • zarządzania incydentami bezpieczeństwa, gdzie został określony m.in. sposób zarządzania naruszeniami ochrony danych osobowych,
  • prowadzenia postępowań wyjaśniających.

Prywatność i bezpieczeństwo danych

Standardy Bezpieczeństwa w Grupie Kapitałowej Banku adresują następujące zagadnienia: bezpieczeństwo informacji chronionych w tym ochrona danych osobowych, zarządzanie ciągłością działania, bezpieczeństwo teleinformatyczne, przeciwdziałanie praniu pieniędzy, zarządzanie incydentami bezpieczeństwa, zasady outsourcingu oraz zasady raportowania stanu bezpieczeństwa.

Bank przetwarza dane osobowe z zachowaniem wymogów powszechnie obowiązującego prawa, w tym zasady zgodności z prawem i przejrzystości danych, zasady ograniczenia celu przetwarzania danych, zasady minimalizacji danych, zachowania prawidłowości, integralności i poufności przetwarzanych danych. Aby zrealizować te cele Bank stosuje zarówno regulacje proceduralne, jak i rozwiązania technologiczne. Są one projektowane tak, aby zachować określone w RODO zasady przetwarzania danych osobowych.

Bank powołał Inspektora Ochrony Danych (IOD). Do jego zadań należy nadzór nad prawidłowym przetwarzaniem danych osobowych. Klienci mogą skontaktować się z IOD pisząc do niego na adres Banku lub na e-mail: iod@pkobp.pl.

Zgodnie z obowiązkami wynikającymi z RODO Bank opracował Informację o przetwarzaniu danych osobowych i przekazuje ją klientom. Informuje ich o obowiązujących zasadach przetwarzania danych osobowych, celu ich przetwarzania oraz o ich prawach, w tym prawie dostępu do danych, sprostowania danych i prawie do usunięcia danych.

Ponadto na stronie internetowej Banku https://www.pkobp.pl/rodo/ znajdują się informacje o przetwarzaniu danych osobowych, w tym m.in. o powołanym IOD, informacja o przetwarzaniu danych osobowych, podstawach prawnych przetwarzania danych, realizacji praw osób których dane dotyczą.

Gdy Bank przetwarza dane na podstawie zgody osoby, której dotyczą, informuje ją o prawie do wycofania zgody.

Klienci Banku mogą w formie reklamacji zgłaszać wątpliwości dot. bezpieczeństwa danych, a także wystąpić z wnioskiem o realizację praw wynikających z RODO. Opracowane zostały również przepisy wewnętrzne dotyczące zarządzania naruszeniami ochrony danych osobowych. Bank określił zasady informowania klientów w przypadku naruszenia bezpieczeństwa ich danych. Zasady te są zgodne z wymogami prawa. Dotyczy to również informowania odpowiednich organów o naruszeniach, co także wynika z przepisów wewnętrznych oraz przepisów prawa.

Ciągła wymiana informacji i poprawa bezpieczeństwa w oparciu o najlepsze praktyki są stałym elementem współpracy i obowiązujących Porozumień w Grupie Kapitałowej Banku.

Zarządzanie ryzykiem nieuprawnionego dostępu do informacji o klientach

Bank zarządza ryzykiem nieuprawnionego dostępu do informacji o klientach zgodnie z „Polityką Bezpieczeństwa w PKO Banku Polskim S.A.”. „Zasady bezpieczeństwa informacji chronionych w PKO Banku Polskim S.A.”, będące elementem Polityki bezpieczeństwa regulują kwestie poufności informacji i zachowania tajemnicy bankowej oraz bezpieczeństwa danych osobowych, w tym odpowiedzialność pracowników Banku w zakresie bezpieczeństwa informacji chronionych. Każdy pracownik obligatoryjnie i zgodnie z procedurami jest zobowiązany ukończyć stosowne szkolenie z ochrony danych osobowych. Szkolenia są realizowane także cyklicznie. Działania na rzecz bezpieczeństwa danych są podejmowane z udziałem Zarządu. Aby chronić dane, wdrażane są najwyższej klasy rozwiązania z zakresu polityki i bezpieczeństwa systemowego. Rozwiązania te zarówno w aspekcie systemowym, jak i polityk, są przedmiotem ciągłej ewaluacji, działań audytowych i ulepszania zgodnie z najlepszymi praktykami rynkowymi. Departament Bezpieczeństwa nadzoruje realizację obowiązków związanych z bezpieczeństwem Banku oraz raportuje w tym zakresie do Zarządu Banku w cyklach kwartalnym, półrocznym i rocznym a także do Rady Nadzorczej w cyklach półrocznym i rocznym. W ramach swoich działań Departament Bezpieczeństwa prowadzi w jednostkach Banku kontrole z zakresu bezpieczeństwa (w tym bezpieczeństwa informacji) oraz opiniuje w tym zakresie nowe rozwiązania i projekty wdrażane w Banku.

Zgodnie z powyższymi zasadami:

  • pracownicy mają dostęp do informacji chronionych w Banku zgodnie z powierzonym zakresem czynności i obowiązków służbowych,
  • pracownicy przed rozpoczęciem przetwarzania informacji chronionych realizują szkolenia z zakresu bezpieczeństwa informacji chronionych,
  • gdy materiały zawierające informacje chronione są udostępniane podmiotom zewnętrznym, pomiędzy stronami jest zawierana umowa o zachowaniu poufności, zaś w przypadku powierzenia przetwarzania danych osobowych, zawierana jest umowa o powierzeniu przetwarzania danych osobowych. Umowa ta zawiera m.in. zobowiązania podmiotów współpracujących z Bankiem do ochrony powierzonych danych, wykorzystania ich wyłącznie w celach związanych z realizacją umowy oraz przekazywania informacji o wszelkich naruszeniach bezpieczeństwa. Bank określa wymogi zabezpieczenia przetwarzanych danych zgodnie z przepisami powszechnie obowiązującego prawa. Bank przewiduje również możliwość kontroli bezpieczeństwa danych przetwarzanych u podmiotów współpracujących.

Bank zobowiązany jest do zachowania tajemnicy bankowej określonej przepisami ustawy Prawo bankowe.

Wszelkie udostępnienie informacji, które stanowią tajemnicę bankową, w tym danych osobowych klientów Banku, może mieć miejsce przy zachowaniu obowiązków wynikających z przepisów powszechnie obowiązującego prawa zgodnie z przepisami ustawy Prawo bankowe. Zapytania od podmiotów uprawnionych do żądania udzielenia informacji, które stanowią tajemnicę bankową są rozpatrywane przez Bank zgodnie z zasadami określonymi w przepisach prawa. Informacji objętych tajemnicą bankową Bank udziela wyłącznie w przypadkach określonych przepisami wymienionej ustawy, po spełnieniu przesłanek uprawniających do ich udzielenia.

Bank podejmuje działania w zakresie występujących naruszeń ochrony danych osobowych zgodnie z przyjętymi Zasadami zarządzania incydentami bezpieczeństwa w PKO Banku Polskim S.A. oraz z RODO. W przypadku stwierdzenia naruszenia niezwłocznie podejmowane są działania zmierzające do jego analizy oraz minimalizacji negatywnych skutków, jeśli takie wystąpią. Przypadki naruszenia ochrony danych osobowych skutkujące ryzykiem naruszenia praw lub wolności osób fizycznych są niezwłocznie zgłaszane do Prezesa UODO. Ponadto, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o takim naruszeniu niezwłocznie zawiadamia się osobę, której dane dotyczą.

Każdy z pozostałych podmiotów Grupy Kapitałowej Banku, który przetwarza dane osobowe, posiada odrębne przepisy wewnętrzne i realizuje obowiązki związane z ochroną danych osobowych jako odrębny administrator. Spółki wprowadziły Standardy Bezpieczeństwa (w tym w zakresie ochrony danych osobowych) będące częścią „Wytycznych w zakresie Standardu bezpieczeństwa w Grupie Kapitałowej PKO Banku Polskiego”. Są one zgodne z powszechnie obowiązującymi przepisami oraz ze standardami stosowanymi w Banku, a w niezbędnym zakresie zawierają regulacje szczególne, adekwatne do specyfiki konkretnego podmiotu.