Особливості застосування норм GDPR фінансовими компаніями

На сьогодні актуальною залишається тема щодо впровадження норм General Data Protection Regulation або GDPR (далі по тексту «Регламент»/«GDPR») у секторі надання фінансових послуг. Зокрема, дане питання стосується особливостей застосування норм Регламенту фінансовими компаніями як на території Європи, так і на території України. Фінансовий сектор бізнесу, який об’єднує в собі діяльність банків, кредитних, страхових та інших фінансових установ, не є виключенням у контексті регулювання захисту персональних даних.

Фінансові компанії, які щоденно збирають великі об’єми персональних даних, зобов’язані пам’ятати, що наглядові органи по захисту даних, перш за все, можуть зосередити свою увагу на фінансовому секторі, адже саме в цій сфері відбувається значний обіг персональних та чутливих персональних даних. Також, обробка персональних даних у фінансовій сфері може створити значні ризики для фінансового стану суб’єкта персональних даних.

Опитування, проведене компанією Varonis у 2015 році на території ЄС серед представників фінансових компаній, показало, що переважна більшість респондентів вважає, що норми GDPR будуть у першу чергу застосовуватися до представників фінансового сектору. У той самий час, більше двох третин респондентів цього опитування зазначили, що не знають, які дії їм потрібно здійснити, щоб відповідати вимогам GDPR.

Окрім того, якщо фінансові компанії, які зареєстровані на території України та провадять діяльність у фінансовій сфері, у тому числі і на території ЄС, або які здійснюють моніторинг поведінки суб’єктів персональних даних у контексті GDPR, на території ЄС, підпадають під вимоги нового європейського Регламенту, а отже зобов’язані розробити та впровадити комплекс організаційних та технічних заходів для можливості відповідати вимогам GDPR на одному рівні з європейськими компаніями, а в деяких випадках навіть  більше.

Обробка персональних даних фінансовими компаніями

Законодавчий рівень

Здійснюючи обробку персональних даних, фінансові компанії повинні мати на увазі, що така обробка, може мати певні особливості та специфічні вимоги, зокрема в контексті вимог інших нормативних актів, які діють на тій чи іншій території. Так наприклад:

• на території ЄС діє Директива 2015/2366/ЕС «Про надання платіжних послуг» (або Друга Директива «Про надання платіжних послуг» від 2015 року/PSD2). Дана Директива також визначає порядок обробки персональних даних, однак, після набрання законної сили GDPR, положення Директиви, в частині захисту персональних даних, втрачають свою силу;
• на території України, компанії повинні додатково керуватися положеннями Закону України «Про фінансові послуги та державне регулювання ринків фінансових послуг» від 12.07.2001 року.

Особливості щодо автоматичного прийняття рішень.

Що ж стосується інших особливостей, передбачених GDPR, то варто звернути увагу на те, що в більшості випадків, коли говоримо про обробку персональних даних у фінансовій сфері, потрібно підкреслити необхідність фінансовим компаніям здійснювати автоматизоване прийняття рішень (automated decision-making), в тому числі на підставі створення профілю (profiling). Така методологія застосовується переважною більшістю фінансових компаній, зокрема, але не обмежуючись, у випадках здійснення так званого оцінювання кредитоспроможності (credit scoring) або ж у випадках, коли потрібно визначити можливість застрахувати фізичну особу.

У відповідності із офіційними роз’ясненнями Working Party 29, обробка персональних даних із застосуванням такої методології, в розумінні GDPR, може спричинити настання ризиків для суб’єкта персональних даних, в тому числі, негативно відобразитися на правах та інтересах суб’єкта персональних даних. Якщо ж обробляються чутливі дані, то цей факт  додатково може спричинити моральну та/або фізичну шкоду суб’єкту персональних даних.

Наприклад: Банк, перед видачою іпотечного кредиту фізичній особі – громадянину ЄС, проводить оцінювання кредитоспроможності такої фізичної особи, шляхом моніторингу інформації про попередні кредити, про поточний фінансовий стан, а також про умови, які є визначальними при поверненні такого кредиту. Разом з цим, банк, для здійснення більш чіткого аналізу без дозволу фізичної особи отримує персональні дані про неї від третіх осіб, зокрема, дані про здоров’я особи. Виявляється, що фізична особа в минулому мала певні проблеми зі спиртним. Як наслідок, банк вважає таку групу клієнтів ризиковими, а отже вирішує не надавати іпотечний кредит. В цьому випадку може бути визнано, що фізична особа зазнала моральних страждань, якщо такий факт буде доведено, а відповідний банк буде притягнуто до відповідальності за порушення GDPR.

Важливою особливістю залишається обробка чутливих персональних даних, особливо за допомогою автоматичного прийняття рішень, в тому числі через створення профілю, адже обробка таких даних породжує значніші наслідки для відповідного суб’єкта персональних даних. При цьому варто зауважити, що чутливі персональні дані можуть оброблюватися в первісному своєму вигляді, а можуть створюватися, наприклад, в процесі поєднання або співставлення персональних даних про фізичну особу.

Важливо пам’ятати, що використання методології, спрямованої на автоматичне прийняття рішень, може спричинити появу для фінансової компанії обов’язку щодо здійснення окремих заходів, які визначаються GDPR. Так, наприклад, розділ 3 GDPR передбачає необхідність проведення оцінювання ризиків в процесі обробки персональних даних (Data protection Impact Assessment/DPIA). Також передбачається проведення, при необхідності, попередніх консультацій з відповідними контролюючими органами, якщо ризики, що були виявлені в результаті проведення DPIA, є такими, які значно впливають на права та інтереси суб’єктів персональних даних, або по відношенню до яких фінансова компанія не змогла вжити заходів з ціллю їхнього усунення.

Особливості щодо законних підстав для обробки персональних даних

Фінансовим компаніям необхідно приділити неабияку увагу питанню законних підстав для обробки персональних даних. Зокрема, але не виключно, ст. 6 GDPR вказує, що законними підставами можливо вважати: (і) отримання згоди від суб’єкта персональних даних; (іі) обробку для можливості укласти контракт між суб’єктом персональних даних та контролером або ж виконання такого контракту; (ііі) для виконання контролером своїх законних обов’язків, покладених на нього тощо.

Якщо будь-яка фінансова компанія, яка бажає отримувати персональні дані про суб’єктів персональних даних, що є або можуть бути клієнтами фінансової компанії, отримує ці дані від третьої особи, без відома відповідного суб’єкта персональних даних, то така компанія зобов’язана повідомити суб’єкта персональних даних про цілі та способи обробки його персональних даних протягом 30 днів з момента отримання таких даних.

Існують також інші особливості щодо вимог, які стосуються отримання персональних даних від третіх осіб, які більш детально визначено в ст. 14 GDPR.

Якщо фінансова компанія збирає та оброблює чутливі персональні дані, то в такому випадку необхідно потурбуватися про можливість отримання безумовної згоди від суб’єкта персональних даних. Цей вид згоди є особливою формою законної підстави для обробки персональних даних, використання якої є обов’язковою при обробці певних категорій даних та/або в ситуаціях, коли визначені специфічні цілі обробки персональних даних.

Особливості стосовно реалізації прав суб’єктами персональних даних

Регламент, з огляду на свою суть та зміст, першочергово спрямований на захист прав та інтересів фізичних осіб, які вважаються суб’єктами персональних даних, і тому текст Регламенту передбачає цілий ряд прав, якими наділені суб’єкти персональних даних. Зокрема, текст GDPR передбачає наступні права для суб’єкта персональних даних:

• право на інформацію;
• право доступу до персональних даних;
• право вимагати припинення обробки персональних даних;
• право на виправлення персональних даних;
• право на видалення персональних даних;
• право на обмеження обробки персональних даних;
• право вимагати передачі персональних даних іншому контролеру;
• право на залучення фізичних осіб в процесі прийняття рішень щодо обробки персональних даних.

Якщо розглядати, на приклад, можливість реалізації права на формацію, то в такому випадку, суб’єкт персональних даних має право вимагати, а  фінансова компанія зобов’язана надати суб’єкту персональних даних всю інформацію, яка стосується обробки персональних даних, зокрема, але не виключно, інформації про цілі, строки та законні підстави обробки персональних даних.

Якщо ж мова йде про обробку персональних даних із використанням методології, спрямованої на автоматичне прийняття рішень, то у такому випадку фінансова компанія зобов’язана максимально доступно та зрозуміло розкрити інформацію суб’єкту персональних даних про те, як така методології реалізується на практиці та які наслідки можуть виникнути для суб’єкта персональних даних.

Наприклад. Кредитна організація використовує оцінювання кредитоспроможності для можливості надати кредит фізичній особі, використовуючи персональні дані, отримані від такої фізичної особи. В такому випадку, кредитна установа зобов’язана пояснити фізичній особі підстави такого оцінювання та його обґрунтування. (Кредитна установа, в повідомленні суб’єкту персональних даних, повинна вказати, що такий процес допомагає прийняти чесне та коректне рішення щодо надання кредиту).

Ризики, які можуть виникнути у фінансової компанії

Незалежно від місця своєї реєстрації, у фінансових компаній, в контексті застосування норм GDPR, можуть виникнути значні ризики, пов’язані  з обробкою персональних даних фізичних осіб з території Європейського Союзу.

Загалом, всі компанії, в тому числі фінансові, які зобов’язані дотримуватися норм GDPR, зобов’язані дотримуватися принципів, які визначаються Регламентом та які полягають у:

• гарантуванні законних підстав для отримання та обробки персональних даних;
• забезпеченні чесності та прозорості обробки персональних даних;
• необхідності визначення законних та належних цілей обробки персональних даних;
• необхідності визначення строків зберігання персональних даних, що знаходяться у обробці;
• отриманні такої кількості персональних даних, яких достатньо для реалізації поставлених цілей;
• можливості довести відповідність своєї діяльності вимогам GDPR.

Недотримання перелічених вище принципів, визначених GDPR, а також інших специфічних положень Регламенту, може спричинити застосування до відповідної фінансової компанії штрафних санкцій, які полягають у накладення штрафів в розмірі від 10 000 000,00 до 20 000 000,00 Євро або від 2% до 4% від річного фінансового обороту компанії.

Окрім цього, до фінансової компанії можуть бути застосовані інші види відповідальності, що передбачаються внутрішнім законодавством юрисдикції, в якій зареєстрована відповідна компанія.

Що потрібно робити фінансовій компанії?

Отже, підсумовуючи вищесказане, необхідно підкреслити, що коли фінансова компанія орієнтує свою діяльність на європейський ринок та прагне обслуговувати клієнтів з території ЄС, їй варто задуматися над тим,  як коректно розробити та впровадити всі організаційні та технічні заходи в рамках своєї діяльності для можливості протистояти новим викликам, які визначаються GDPR.

Перш за все, потрібно провести так званий Data mapping та Gap assessment, що надасть можливість встановити види та об’єми персональних даних, які оброблює фінансова компанія, а також оцінити рівень захисту персональних даних в процесі їхньої обробки персональних даних.

По-друге, необхідно встановити, наскільки часто та в яких об’ємах використовується методологія автоматичного прийняття рішень, включаючи створення профілю.

По-третє, в залежності від видів та об’ємів персональних даних, які  оброблюються компанією в процесі здійснення нею своєї діяльності, прийняти рішення про проведення DPIA та про необхідність здійснення попередніх консультацій з відповідним контролюючим органом.

По-четверте, необхідно розробити документи, які б за своїм змістом відповідали основним принципам GDPR, а також забезпечували можливість для суб’єктів персональних даних реалізовувати свої права, визначені Регламентом. Основним таким документом слід вважати Privacy and Data Protection Policy, що є фундаментальним кроком в процесі підготовки фінансової компанії до здійснення законної обробки персональних даних в процесі реалізації своєї комерційної діяльності.