GDPR compliance для сервісів мікрокредитування в ЄС

Сервіси мікрокредитування в ході ведення своєї діяльності обробляють найрізноманітніші датасети персональних даних. Це зумовлено як природою цього бізнесу, так і законодавчими вимогами. У цій статті розберемо, які вимоги покладає на мікрокредитні установи GDPR та як забезпечити відповідність цим вимогам.

Навіщо мікрокредитному бізнесу комплаєнс із GDPR?

General Data Protection Regulation (GDPR) – це Регламент Європейського Союзу, який регулює питання обробки та захисту персональних даних осіб в Європейському Союзі та Європейській економічній зоні. Тому, дотримання вимог цього Регламенту є обов’язковим для компаній, які надають послуги на європейському ринку. Не рідкістю є практика регуляторів, які штрафують сервіси з мікрокредитування через недотримання вимог GDPR, наприклад:

• eCommerce 2020 ApS – Persónuvernd (Ісландія) – регулятор наклав штраф у розмірі 51 000 € через те, що компанія надсилала інформацію про несплату до бюро кредитних історій, хоча умови кредиту не містили положення про обмін такими даними.
• DKN.5130.1354.2020 – UODO (Польща) – регулятор оштрафував мікрокредитну компанію на 250 000 € за витік даних, який стався внаслідок відсутності потрібних технічних та організаційних заходів.
• Sambla Group – Tietosuojavaltuutetun toimisto (Фінляндія) – сервіс із порівняння кредитних умов оштрафований на 950 000 € за публікацію кредитних заявок клієнтів, порушуючи принцип цілісності і конфіденційності.

Отже, питання комплаєнсу – не лише впливає на фінансовий стан Вашої компанії, а також і на репутацію та конкурентоспроможність.

Принципи обробки даних – передумова комплаєнсу

Спершу варто зауважити, що вимоги GDPR базуються на його принципах обробки даних. Всього таких принципів є сім:

• законність, справедливість та прозорість;
• обмеження цілей;
• мінімізація даних;
• точність;
• обмеження зберігання;
• цілісність і конфіденційність;
• підзвітність.

Кожен із цих принципів є фундаментом для побудови архітектури захисту персональних даних та вимагають уваги до кожної операції з обробки. У випадку сервісів мікрокредитування особливо важливими є принципи мінімізації даних, точності, цілісності та конфіденційності.

Права Ваших клієнтів як суб’єктів даних

Усі суб’єкти персональних даних (тобто фізичні особи, чиї дані обробляються) мають перелік прав, передбачений GDPR. Наприклад, суб’єкт даних має право:

• зажадати від Вас видалення своїх персональних даних, якщо такі дані більше не потрібні для досягнення мети обробки або якщо особа відкликає свою згоду на таку обробку;
• запитати виправлення даних;
• на доступ (тобто дізнатись, які саме дані обробляються контролером та яким чином);
• бути поінформованим про обробку;
• не бути суб’єктом автоматичного прийняття рішень тощо.

На останньому праві варто зупинитись детальніше, оскільки це зачіпає ключові аспекти роботи мікрокредитного бізнесу.

Автоматичне прийняття рішень в контексті мікрокредитування

GDPR прямо не визначає концепт автоматичного прийняття рішень, проте у ст. 22 вказує, що суб’єкт даних має право не підлягати рішенню, яке ґрунтується виключно на автоматизованій обробці, включаючи профайлинг, яке має для нього юридичні наслідки або аналогічним чином суттєво впливає на нього.

Виключно автоматизована обробка означає, що рішення приймаються без втручання людини. Автоматичні рішення можуть базуватись як напряму на персональних даних, які надає клієнт, так і на створених даних – наприклад, на результаті скорингу клієнта через аналіз його кредитної історії.

Проте для того, щоб вувалась ст. 22 GDRPст. 22 GDPR застосовувалась, необхідними також є “юридичні або подібні наслідки”. Юридичний ефект може бути чимось, що впливає на правовий статус особи або її права за договором. Навіть якщо права чи обов’язки особи не змінюються, суб’єкт даних може все одно зазнати такого впливу, що потребуватиме захисту. Наприклад, пункт 71 Преамбули GDPR вказує відмову у наданні кредиту як подібний ефект.

Також варто зазначити про профайлинг, що так само є звичною операцією для сервісів мікрокредитування. Це є автоматичною обробкою персональних даних, результатом якої є оцінка персональних аспектів особи. До прикладу, наслідком профайлингу є віднесення до категорії “погана кредитна історія” осіб, які прострочували платежі за кредитами.

Дуже важливо прискіпливо проаналізувати усі операції з обробки даних, які залучають автоматичне прийняття рішень, оскільки наслідки такої обробки несуть підвищений ризик для суб’єктів даних, в тому числі – ефект дискримінації. Для аудиту такої операції з обробки персональних даних GDPR передбачає обов’язкове проведення оцінки впливу захисту даних (Data Protection Impact Assessment, DPIA). Завдяки цьому документу можливо визначити, чи є обробка необхідною, пропорційною, чи мають місце запобіжні заходи та які ризики несе така обробка для суб’єктів даних. Саме через загрозу ризиків у GDPR передбачене право не бути суб’єктом автоматичної обробки, і бізнесу мікрокредитування варто бути готовим до перегляду результатів скорингу та подібних алгоритмів спеціалістом Вашої компанії.

Фінансові персональні дані

Фінансові персональні дані – це не просто сукупність цифр чи записів у платіжних системах, а дані, за допомогою яких можна встановити особу людини та її економічний стан. Якщо датасет містить інформацію, що дозволяє ідентифікувати конкретну фізичну особу та те, що вона здійснила фінансові операції (наприклад ідентифікатори рахунків, ім’я власника чи реквізити транзакцій), дані у ньому можна вважати фінансовими персональними даними.

Типові фінансові датасети містять ідентифікатори користувачів та платіжні дані, необхідні для здійснення транзакцій. Ідентифікатори – це унікальні поєднання символів, які дозволяють сервісу розпізнати користувача, а платіжні дані охоплюють, зокрема, персоналізовані захисні відомості, аутентифікаційні дані та чутливі платіжні реквізити. У сукупності ці дані забезпечують повний цикл обробки транзакції: від ідентифікації та аутентифікації до виконання платежу. Якщо з датасету, який містить дані про фінансові операції, можливо дізнатись про спеціальні категорії персональних даних (наприклад членство в профспілці, стан здоров’я чи релігійні пожертвування), то весь датасет автоматично вважається чутливим. Наслідком цього є застосування особливих вимог GDPR про обробку чутливих даних, в тому числі статті 9 GDPR.

План дій для комплаєнсу із GDPR

Впровадження комплаєнсу із GDPR – комплексний процес, який проходить у декілька етапів:

1. GDPR-аудит – складається із двох частин: Initial Data Map (карта руху персональних даних всередині процесів Вашої компанії) та Gap Assessment (порівняння вимог Регламенту наявним операціям з обробки даних). Аудит допомагає зрозуміти поточну ситуацію та проаналізувати операції з обробки даних, які можуть не відповідати положенням GDPR).
2. GDPR action plan – план конкретних дій, які компанія повинна виконати, щоб привести свою обробку персональних даних у відповідність. Зазвичай такий план передбачає оновлення та створення необхідної документації (політик, процедур тощо).
3. Демонстрація комплаєнсу з GDPR – передбачає створення оновлених карт руху даних, меморандуму та презентації про GDPR compliance. Така демонстрація показує Вашим клієнтам та бізнес-партнерам про безпечність обробки персональних даних, що перетворює комплаєнс у конкурентну перевагу.

Спеціалісти з комплаєнсу Legal IT Group

Комплаєнс із GDPR для мікрофінансових сервісів – це стратегічний процес, який потребує досвіду та глибокого розуміння регуляторних вимог. Legal IT Group консультує фінтех-компанії, готує документацію та проводить аудити, щоб Ваш бізнес залишався успішним.