Особенности применения норм GDPR финансовыми компаниями

На сегодня актуальной остается тема по внедрению норм General Data Protection Regulation или GDPR (далее по тексту «Регламент» / «GDPR») в секторе предоставления финансовых услуг. В частности, данный вопрос касается особенностей применения норм Регламента финансовыми компаниями как на территории Европы, так и на территории Украины. Финансовый сектор бизнеса, который объединяет в себе деятельность банков, кредитных, страховых и других финансовых учреждений, не является исключением в контексте регулирования защиты персональных данных.

Финансовые компании, которые ежедневно собирают большие объемы персональных данных, обязаны помнить, что надзорные органы по защите данных, прежде всего, могут сосредоточить свое внимание на финансовом секторе, ведь именно в этой сфере происходит значительный оборот персональных и чувствительных персональных данных. Также, обработка персональных данных в финансовой сфере может создать значительные риски для финансового состояния субъекта персональных данных.

Опрос, проведенный компанией Varonis в 2015 году на территории ЕС среди представителей финансовых компаний, показало, что подавляющее большинство респондентов считает, что нормы GDPR будут в первую очередь применяться к представителям финансового сектора. В то же время, более двух третей респондентов этого опроса отметили, что не знают, какие действия им необходимо осуществить, чтобы соответствовать требованиям GDPR.

Кроме того, если финансовые компании, которые зарегистрированы на территории Украины и осуществляют деятельность в финансовой сфере, в том числе и на территории ЕС, или которые осуществляют мониторинг поведения субъектов персональных данных в контексте GDPR, на территории ЕС, подпадают под требования нового европейского регламента, а значит обязаны разработать и внедрить комплекс организационных и технических мероприятий для возможности отвечать требованиям GDPR на одном уровне с европейскими компаниями, а в некоторых случаях даже больше.

Обработка персональных данных финансовыми компаниями

Законодательный уровень

Осуществляя обработку персональных данных, финансовые компании должны иметь в виду, что такая обработка может иметь определенные особенности и специфические требования, в частности в контексте требований других нормативных актов, действующих на той или иной территории. К примеру:

на территории ЕС действует Директива 2015/2366 / ЕС «О предоставлении платежных услуг» (или Вторая Директива «О предоставлении платежных услуг» от 2015 / PSD2). Данная Директива также определяет порядок обработки персональных данных, однако, после вступления в законную силу GDPR, положения Директивы, в части защиты персональных данных, теряют свою силу;
на территории Украины, компании должны дополнительно руководствоваться положениями Закона Украины «О финансовых услугах и государственном регулировании рынков финансовых услуг» от 12.07.2001 года.

Особенности касающиеся автоматического принятия решений.

Что же касается других особенностей, предусмотренных GDPR, то стоит обратить внимание на то, что в большинстве случаев, когда говорим об обработке персональных данных в финансовой сфере, для финансовых компаний нужно подчеркнуть необходимость осуществлять автоматизированное принятие решений (automated decision-making), в том числе на основании создания профиля (profiling). Такая методология применяется подавляющим большинством финансовых компаний, в частности, в случаях осуществления так называемой оценки кредитоспособности (credit scoring) или же в случаях, когда нужно определить возможность застраховать физическое лицо.

В соответствии с официальными разъяснениями Working Party 29 обработка персональных данных с применением такой методологии, в понимании GDPR, может повлечь наступление рисков для субъекта персональных данных, в том числе, негативно отразиться на правах и интересах субъекта персональных данных. Если же обрабатываются чувствительные данные, то этот факт дополнительно может вызвать моральную и / или физический вред субъекту персональных данных.

Например: Банк, перед выдачей ипотечного кредита физическому лицу — гражданину ЕС, проводит оценку кредитоспособности такого физического лица, путем мониторинга информации о предыдущих кредитах, о текущем финансовом состоянии, а также условиях, которые являются определяющими при возвращении такого кредита. Вместе с этим, банк, для осуществления более четкого анализа без разрешения физического лица получает персональные данные о нем от третьих лиц, в частности, данные о здоровье человека. Оказывается, что физическое лицо в прошлом имела определенные проблемы со спиртным. Как следствие, банк считает такую ​​группу клиентов рисковыми, а следовательно решает не предоставлять ипотечный кредит. В этом случае может быть признано, что физическое лицо испытало нравственные страдания, если такой факт будет доказан — соответствующий банк будет привлечен к ответственности за нарушение GDPR.

Важной особенностью остается обработка чувствительных персональных данных, (особенно с помощью автоматического принятия решений), в том числе через создание профиля, ведь обработка таких данных порождает значительные последствия для соответствующего субъекта персональных данных. При этом следует заметить, что чувствительные персональные данные могут обрабатываться в первоначальном своем виде, а могут создаваться, например, в процессе соединения или сопоставления персональных данных о физическом лице.

Важно помнить, что использование методологии, направленной на автоматическое принятие решений, может привести к появлению для финансовой компании обязанностей по осуществлению отдельных мер, которые определяются GDPR. Так, например, раздел 3 GDPR предусматривает необходимость проведения оценки рисков в процессе обработки персональных данных (Data protection Impact Assessment / DPIA). Также предполагается проведение, предварительных консультаций с соответствующими контролирующими органами, если риски, которые были выявлены в результате проведения DPIA, значительно влияют на права и интересы субъектов персональных данных, или в отношении которых финансовая компания не смогла принять меры по их устранению.

Особенности касающиеся законных оснований для обработки персональных данных

Финансовым компаниям необходимо уделить большое внимание вопросу законных оснований для обработки персональных данных. В частности,  ст. 6 GDPR указывает, что законными основаниями можно считать: (i) получения согласия субъекта персональных данных; (Ii) обработку для возможности заключить контракт между субъектом персональных данных и контроллером или выполнения такого контракта; (Iii) для выполнения контроллером своих законных обязанностей, возложенных на него и тому подобное.

Если какая-либо финансовая компания, которая желает получать персональные данные о субъектах персональных данных, являются или могут быть клиентами финансовой компании, получает эти данные от третьего лица, без ведома соответствующего субъекта персональных данных, то такая компания обязана сообщить субъекта персональных данных о целях и способах обработки его персональных данных в течение 30 дней с момента получения таких данных.

Существуют и другие особенности касающиеся требований, касающихся получения персональных данных от третьих лиц, которые более подробно определены в ст. 14 GDPR.

Если финансовая компания собирает и обрабатывает чувствительные персональные данные, то в таком случае необходимо позаботиться о возможности получения безусловной согласия субъекта персональных данных. Этот вид согласия является особой формой законного основания для обработки персональных данных, использование которой является обязательным при обработке определенных категорий данных и / или в ситуациях, когда определенные специфические цели обработки персональных данных.

Особенности по реализации прав субъектами персональных данных

Регламент, учитывая свою сущность и содержание, в первую очередь направлен на защиту прав и интересов физических лиц, которые считаются субъектами персональных данных, и поэтому текст Регламента предусматривает целый ряд прав, которыми наделены субъекты персональных данных. В частности, текст GDPR предусматривает следующие права для субъекта персональных данных:

право на информацию;
право доступа к персональным данным;
право требовать прекращения обработки персональных данных;
право на исправление персональных данных;
право на удаление персональных данных;
право на ограничение обработки персональных данных;
право требовать передачи персональных данных другому контроллеру;
право на привлечение физических лиц в процессе принятия решений по обработке персональных данных.

Если рассматривать, к примеру, возможность реализации права на формацию, то в таком случае, субъект персональных данных имеет право требовать, а финансовая компания обязана предоставить субъекту персональных данных всю информацию, касающуюся обработки персональных данных, в частности, но не исключено, информации о целях, сроках и законные основания обработки персональных данных.

Если же речь идет об обработке персональных данных с использованием методологии, направленной на автоматическое принятие решений, то в таком случае, финансовая компания обязана максимально доступно и понятно раскрыть информацию субъекту персональных данных о том, как такая методологии реализуется на практике и какие последствия могут возникнуть для субъекта персональных данных.

Например. Кредитная организация использует оценки кредитоспособности для возможности предоставить кредит физическому лицу, используя персональные данные, полученные от такого физического лица. В таком случае, кредитное учреждение обязано объяснить физическому лицу основания такой оценки и его обоснование. (Кредитное учреждение, в сообщении субъекту персональных данных, должна указать, что такой процесс помогает принять честное и корректное решение о предоставлении кредита).

Риски, которые могут возникнуть в финансовой компании

Независимо от места своей регистрации, у финансовых компаний, в контексте применения норм GDPR, могут возникнуть значительные риски, связанные с обработкой персональных данных физических лиц с территории Европейского Союза.

В общем, все компании, в том числе финансовые, которые обязаны соблюдать нормы GDPR, обязаны соблюдать принципы, которые определяются Регламентом и которые заключаются в:

• обеспечении законных оснований для получения и обработки персональных данных;
• обеспечении честности и прозрачности обработки персональных данных;
• необходимости определения законных и надлежащих целей обработки персональных данных;
• необходимости определения сроков хранения персональных данных, находящихся в обработке;
• получении такого количества персональных данных, которых достаточно для реализации поставленных целей;
• возможности доказать соответствие своей деятельности требованиям GDPR.Несоблюдение вышеперечисленных принципов, определенных GDPR, а также других специфических положений Регламента, может повлечь применение к соответствующей финансовой компании штрафных санкций, которые заключаются в наложении штрафов в размере от 10 000 000,00 до 20 000 000,00 Евро или от 2% до 4% от годового финансового оборота компании.

Кроме этого, финансовой компании могут быть применены другие виды ответственности, предусматриваемые внутренним законодательством юрисдикции, в которой зарегистрирована соответствующая компания.

Что нужно делать финансовой компании?
Итак, суммируя вышесказанное, следует отметить, что когда финансовая компания ориентирует свою деятельность на европейский рынок и стремится обслуживать клиентов с территории ЕС, ей стоит задуматься над тем, как корректно разработать и внедрить все организационные и технические меры в рамках своей деятельности для возможности противостоять новым вызовам, которые определяются GDPR.

Прежде всего, нужно провести так называемый Data mapping и Gap assessment, что позволит установить виды и объемы персональных данных, которые обрабатывает финансовая компания, а также оценить уровень защиты персональных данных в процессе их обработки персональных данных.

Во-вторых, необходимо установить, насколько часто и в каких объемах используется методология автоматического принятия решений, включая создание профиля.

В-третьих, в зависимости от видов и объемов персональных данных, которые обрабатываются компанией в процессе осуществления им своей деятельности, принять решение о проведении DPIA и о необходимости проведения предварительных консультаций с соответствующим контролирующим органом.

В-четвертых, необходимо разработать документы, которые по своему содержанию соответствовали основным принципам GDPR, а также обеспечивали возможность для субъектов персональных данных реализовывать свои права, определенные Регламентом. Основным таким документом следует считать Privacy and Data Protection Policy, что является фундаментальным шагом в процессе подготовки финансовой компании к осуществлению законной обработки персональных данных в процессе реализации своей коммерческой деятельности.