GDPR compliance для fintech-проєктів: як забезпечити захист даних та довіру користувачів
На кого поширюється дія GDPR?
Дія GDPR поширюється на обробку персональних даних у контексті діяльності установи в ЄС, незалежно від того, чи відбувається обробка в ЄС, чи ні. Тобто, навіть якщо Ваша компанія не знаходиться на території ЄС, проте обробляє дані резидентів Союзу, то Ваша діяльність підпадає під сферу дії GDPR. Під дію GDPR підпадають усі бізнеси, в тому числі банки, fintech стартапи, фінансові сервіси, платіжні системи тощо.
Нижче наводимо перелік питань, завдяки яким Ви можете зрозуміти, чи поширюється GDPR на Вашу діяльність:
- Ваша компанія знаходиться на території ЄС?
- Ваша компанія обробляє дані резидентів ЄС?
- Персональні дані Ваших користувачів зберігаються на території ЄС?
- Чи веде Ваша компанія свою діяльність, або надає послуги, на території ЄС?
Якщо на хоча б одне з цих питань Ви відповіли “так”, то Ви маєте відповідати вимогам GDPR.
Принципи обробки – фундамент комплаєнсу
Найважливіше, з чого варто розпочати та що варто завжди мати на увазі в роботі з GDPR – це принципи обробки персональних даних. Це не лише “дух закону”, а досить практичні та обов’язкові для дотримання норми, на основі яких регулятор перевіряє відповідність обробки персональних даних положенням GDPR. Регламент виділяє наступні принципи:
| законність, справедливість та прозорість | обмеження цілей |
| мінімізація даних | точність |
| обмеження зберігання | цілісність та конфіденційність |
| відповідальність | |
Регулятори у своїх рішеннях аналізують та вказують на порушення принципів обробки даних. Ось декілька прикладів рішень регуляторів щодо fintech-компаній:
- SERVICIOS FINANCIEROS CARREFOUR, E.F.C. (AEPD – Іспанія) – €1,500,000 – Контролер (фінансова компанія) зазнав кібератаки внаслідок недостатніх технічних та організаційних заходів – порушення принципу цілісності та конфіденційності.
- ING Bank Śląski (UODO – Польща) – €4,323,250 – Контролер (банк) сканував документи, що посвідчують особу, без належної правової підстави та оцінки необхідності в кожному окремому випадку – порушення принципу законності, мінімізації даних та обмеження цілей.
- Piraeus Bank S.A. (HDPA – Греція) – €50,000 – Контролер (банк) обробляв персональні дані після того, як суб’єкт даних вимагав припинити обробку – порушення принципу законності, справедливості, прозорості та точності.
Всі принципи є безумовно важливими, а fintech проєктам варто приділити особливу увагу на принципи мінімізації, точності, цілісності та конфіденційності.
Підстави для обробки даних – що вибирати?
GDPR передбачає 6 можливих цілей, відповідно до яких можна обробляти персональні дані. Для fintech бізнесу найчастішими цілями є згода та виконання договору. Часто, в fintech бізнесів є законодавчий обов’язок обробляти дані для проходження процедур AML та KYC – в такому випадку Регламентом передбачена така підстава, як виконання юридичних зобов’язань. У випадку обробки персональних даних для забезпечення безпеки систем, в компанії виникає легітимний інтерес – ще одна правова підстава.
У випадку застосування підстави виконання договору, обробка персональних даних повинна бути законною, якщо вона необхідна в контексті договору або наміру укласти договір.
Також існує особливий вид згоди – явна згода (explicit consent). Така згода необхідна в певних ситуаціях, коли виникає серйозний ризик для захисту персональних даних, наприклад при обробці спеціальних категорій даних. Вимог “звичайної” згоди вже буде недостатньо, тому суб’єкт даних повинен явно заявити про свою згоду, наприклад письмовим шляхом.
Отже, в кожному окремому випадку обробки персональних даних необхідно визначити достатню правову підставу.
Права суб’єктів даних як точка контакту з клієнтами
Обробляючи дані резидентів ЄС потрібно пам’ятати та бути готовим до звернень та запитів від суб’єктів даних. Суб’єкти даних мають бути проінформовані, що вони можуть реалізовувати права, передбачені GDPR, зв’язавшись із Вашою компанією. Така інформація зазвичай вказується в політиці приватності – див. більше у нашій статті про Privacy Policy.
Data protection officer – роль у комплаєнсі
Оскільки fintech компанії систематично та масштабно обробляють дані своїх користувачів, зокрема чутливі дані, GDPR зобов’язує призначити Data protection officer (DPO). Це особа (працівник або фізична/юридична особа на аутсорсі), яка має достатні професійні знання у сфері захисту персональних даних. Data protection officer зобов’язаний:
- надавати консультації та роз’яснення компанії, що обробляє персональні дані про її зобов’язання відповідно до GDPR;
- контролювати виконання вимог GDPR (комплаєнс) працівниками та керівниками компанії;
- співпрацювати з регуляторами у сфері захисту персональних даних.
На практиці, DPO залучається fintech компаніями у випадках, коли має місце обробка персональних даних при проходженні AML/KYC процедур, організації data flow у системі, використання сторонніх вендорів тощо.
Комплаєнс, персональні дані, DPO… як справитись?
Підсумовуючи, комплаєнс є комплексним процесом, який вимагає найвищого рівня уваги, професіоналізму та розуміння особливостей fintech бізнесу. Тому, команда Legal IT Group з радістю допоможе Вам не лише відповідати вимогам законодавства, а ще й бути дружніми до своїх користувачів!
