poster
Для стартапів

Защита Персональных Данных и GDPR для Финтех-компаний в Украине

Украинские финтех-компании считают соответствие регуляторным требованиям, куда входит и защита персональных данных, вызовом №1 для своей сферы. Эта статья посвящена теме защиты персональных данных в сфере финтех, в соответствии с европейским регулированием GDPR. Материал отвечает на три ключевых вопроса:

  1. Каким проектам нужно соответствовать требованиям GDPR;
  2. Какие данные нужно защищать;
  3. Что делать для подготовки к требованиям GDPR.

Каким финтех-проектам нужен GDPR

Можно выделить три группы финтех-компаний в Украине, которым нужен GDPR:

  1. Компаниям, у которых финансовая лицензия, офис, или счета находятся в одной из стран ЕС. Популярными проектами с финансовыми лицензиями в ЕС являются платёжные системы, которые открывают счета клиентам и предоставляют потребительские кредиты;
  2. Проекты, которые предоставляют продукты и услуги на европейском рынке с территории Украины или других стран. Если компания предоставляет интерфейс на одном из языков ЕС, принимает европейскую валюту в качестве оплаты или упоминает европейцев в отзывах клиентов, GDPR будет иметь действие для финтех-компаний, зарегистрированных в Украине. Один из распространённых примеров - это компании, которые предлагают приложения для учёта финансов и ведения финансовой отчётности для пользователей в ЕС;
  3. B2B процессинговые системы - украинские компании, которые предлагают проектам из Европы услуги по платёжной инфраструктуре, приёму и обработке веб- и мобильных платежей. В таком случае, европейские компании вправе подключать только тех провайдеров, которые предоставляют достаточные гарантии защиты данных в соответствии со статьёй 28 GDPR.

Какие данные нужно защищать

Защита персональных данных в финтех касается обработки информации о человеке, не затрагивая данные о компаниях или других видах юридических лиц. По определению, персональные данные - это любая информация о человеке, которого можно идентифицировать с помощью имени, адреса или ID. К персональным данным относятся история транзакций пользователя, кредитная история и рейтинг, логи его онлайн-активности и местоположение, платёжные реквизиты. Отдельного внимания в разрезе GDPR для финтех-компаний заслуживают:

  1. Данные для KYC/AML верификации. Этот вид данных носит особое значение для любого проекта, так как их обработка имеет установленную законом процедуру. Для KYC/AML верификации в компании должна быть отдельная процедура защиты персональных данных, которая будет учитывать требования KYC/AML законодательства в разрезе сроков хранения, сотрудников, у которых есть доступ к данным, и условиям разглашения данных компетентным органам;
  2. BankID. Особенность данной технологии в том, что вокруг пользовательского аккаунта накапливается большое количество данных, многие из которых носят чувствительный характер. Используя BankID, пользователь делится накопленными данными с другими компаниями, и неправильно настроенный доступ может привести к утечке данных без ведома или согласия клиента. Кроме того, такая информация не может использоваться в рекламных или маркетинговых целях;
  3. Биометрическая идентификация. Использование распознавания лица, отпечатков пальцев или поведенческой биометрии становится всё более популярным при проведении платежей. В то же время, в ЕС данная тема находится в разделе дополнительных ограничений, так как биометрия считается чувствительными данными и регулируется статьёй 9 GDPR.

5 шагов по подготовке к требованиям GDPR для финтех-компаний в Украине:

GDPR для Финтех-компаний: 5 шагов

Illustrations by Freepic Stories

  1. Определите карту движения данных. Начните с первичного аудита того, какие данные и зачем вы собираете у ваших пользователей или клиентов. Это поможет посмотреть на картину в целом и не упустить из виду неочевидные категории данных, что в дальнейшем приведёт к нарушению GDPR. Также, подготовка карты движения данных требуется ст. 30 GDPR;
  2. Защитите информацию организационными и техническими мерами. Этот шаг основывается на стандартах информационной безопасности и включает в себя систему мер защиты от утечек, от шифрования данных при хранении до ограниченного доступа сотрудников и удаления данных по истечению срока;
  3. Создайте Privacy Policy и интерфейс для прав пользователей. У пользователя должен быть доступ к собранным о нём данным, возможность передать данные в другую компанию, исправить или удалить их, а также право запрета на их обработку, если они используются в маркетинговых целях (ст. 12-22 GDPR);
  4. Оформите международную передачу данных. GDPR для финтех-компаний в Украине потребует оформить дополнительные контрактные гарантии в виде Standard Contractual Clauses для передачи данных за пределы ЕС (ст. 46 GDPR), а также назначить представителя в Европейском Союзе, если компания зарегистрирована в третьей стране (ст. 27 GDPR);
  5. Сформируйте список подрядчиков и партнёров, которым передаются персональные данные. Одна из особенностей защиты персональных данных в финтех - это наличие широкой инфраструктуры из партнёров и подрядчиков, которые отвечают за разные стадии обработки информации и платежей. С каждым из таких подрядчиков нужно подписывать контракт (Data Processing Agreement, ст. 28 GDPR) и убедиться, что он защищает персональные данные по стандартам GDPR.

GDPR для финтех-компаний строится на тех же принципах ст. 6 GDPR, что и в других сферах и технологиях. В то же время, поскольку финансовый сектор основывается на обширной обработке данных пользователей, защита персональных данных в финтех носит целый ряд особенностей.

Подводные камни могут подстерегать финтех-компании в верификационных процедурах или при передаче информации сторонним лицам по их запросу. Чтобы избежать нарушений GDPR и использовать приватность как конкурентное преимущество перед клиентами, вам потребуется чёткая карта движения данных в проекте и постепенный план работ, направленный на соблюдение требований ЕС по защите персональных данных.
Если вопрос защиты персональных данных актуален для вашей компании, мы в Legal Nodes будем рады РЕШИТЬ ВАШИ ЗАДАЧИ.

 

Влад Некрутенко,

юрист в сфере защиты персональных данных (CIPP/E)

Потрібен адвокат у цій галузі?

avatarchecked

Влад

Україна

3 роки досвіду

Досвід
Влад є експертом у сфері захисту приватності та дотримання вимог європейського законодавст...
обрати
обрати

Блог Legal Nodes

Для Стартапів
Навіщо потрібен Founders Agreement (Договір між засновниками стартапу) і що в ньому треба передбачити + шаблон 2021

Цього разу ми підготували статтю про Founders Agreement (Договір між засновниками стартапу), де розповідаємо більш детально про те, навіщо він потрібен, а також даємо 5 практичних порад про те, що варто в ньому вказати + безкоштовний шаблон Foun...

Команда Legal Nodes
Загальна
Навіщо потрібні Правила користування сайтом (Terms of Use) і що у них потрібно передбачити? + шаблон 2021

Якщо компанія правильно підготує власні Terms of Use, то зможе попередити негативні наслідки та не нести юридичну відповідальність у складних ситуаціях. Цього разу ми підготували для вас статтю з рекомендаціями та БЕЗКОШТОВНИЙ шаблон Terms of Us...

Команда Legal Nodes
Загальна
Публікація додатків в App Store та Google Play: чек-ліст

Щоб без проблем опублікувати додаток в App Store та Google Play, ми підготували для вас цю статтю та чек-ліст із необхідними кроками (у кінці статті ти знайдеш форму для скачування чек-ліста з більш докладною інформацією!)...

Команда Legal Nodes
Персональні дані(GDPR)
Legal Nodes запускає сервіс Data Protection Officer по підписці на Product Hunt

Ми пропонуємо новий продукт з послугами DPO, який щонаймеше у 5 разів ефективніший та дешевший, аніж наймати власного DPO у штат. Підтримайте нашу сторінку "DPO по підписці" на Product Hunt!...

Команда Legal Nodes
КІК
10 тез про податкові ризики 2021 року для українських IT компаній, зареєстрованих за кордоном

Зі вступом закону 466-IX у чинність у зоні податкового ризику опинився ІТ бізнес та стартапи, що мають зареєстровані іноземні компанії. У цій статті ти знайдеш витяг із ключових тез панельної дискусії по цій темі....

Команда Legal Nodes
Для Стартапів
Як стартапу юридично правильно запустити виробництво hardware-продукту?

Зважитися на створення свого бізнесу у сфері hardware може бути складно, розуміючи весь масив майбутньої роботи. У цій статті ти знайдеш юридичний чек-ліст того, про що потрібно подбати при запуску свого hardware виробництва....

Команда Legal Nodes
Персональні дані(GDPR)
Data Protection Officer (DPO) по підписці: як компаніям, що працюють з персональними даними, відповідати вимогам GDPR без проблем

Місячна підписка дозволяє закривати потребу у захисті персональних даних, відповідати вимогам GDPR та легко прогнозувати свої витрати на legal. Концепція "DPO по підписці" дозволяє фаундерам у першу чергу вкладати гроші в розвиток свого продукту...

Команда Legal Nodes
Для Стартапів
Юрисконсульт по підписці: як сучасному стартапу полегшити юридичну рутину

Концепція lawyer-as-a-service (юрист по підписці) дозволяє фаундеру займатися розвитком стартапу, а не юридичною рутиною, забути про дорогі юрфірми, тривалі комунікації з юристами або про необхідність наймати штатного юриста. У цій статті ми зіб...

Команда Legal Nodes
Персональні дані(GDPR)
Cookie Policy: як відстежувати роботу вашого веб-сайту, не порушуючи вимог GDPR? + шаблон Cookie Policy

Ця стаття допоможе розібратися у типових помилках при збиранні файлів cookie та заходах, які потрібні, щоб дотримуватися законів Європейського Союзу про захист даних. В кінці статті ви безкоштовно зможете отримати шаблон Cookie policy для вашого...

Команда Legal Nodes