Защита Персональных Данных и GDPR для Финтех-компаний в Украине

Украинские финтех-компании считают соответствие регуляторным требованиям, куда входит и защита персональных данных, вызовом №1 для своей сферы. Эта статья посвящена теме защиты персональных данных в сфере финтех, в соответствии с европейским регулированием GDPR. Материал отвечает на три ключевых вопроса:

1. Каким проектам нужно соответствовать требованиям GDPR;
2. Какие данные нужно защищать;
3. Что делать для подготовки к требованиям GDPR.

Каким финтех-проектам нужен GDPR

Можно выделить три группы финтех-компаний в Украине, которым нужен GDPR:

1. Компаниям, у которых финансовая лицензия, офис, или счета находятся в одной из стран ЕС. Популярными проектами с финансовыми лицензиями в ЕС являются платёжные системы, которые открывают счета клиентам и предоставляют потребительские кредиты;
2. Проекты, которые предоставляют продукты и услуги на европейском рынке с территории Украины или других стран. Если компания предоставляет интерфейс на одном из языков ЕС, принимает европейскую валюту в качестве оплаты или упоминает европейцев в отзывах клиентов, GDPR будет иметь действие для финтех-компаний, зарегистрированных в Украине. Один из распространённых примеров - это компании, которые предлагают приложения для учёта финансов и ведения финансовой отчётности для пользователей в ЕС;
3. B2B процессинговые системы - украинские компании, которые предлагают проектам из Европы услуги по платёжной инфраструктуре, приёму и обработке веб- и мобильных платежей. В таком случае, европейские компании вправе подключать только тех провайдеров, которые предоставляют достаточные гарантии защиты данных в соответствии со статьёй 28 GDPR.

Какие данные нужно защищать

Защита персональных данных в финтех касается обработки информации о человеке, не затрагивая данные о компаниях или других видах юридических лиц. По определению, персональные данные - это любая информация о человеке, которого можно идентифицировать с помощью имени, адреса или ID. К персональным данным относятся история транзакций пользователя, кредитная история и рейтинг, логи его онлайн-активности и местоположение, платёжные реквизиты. Отдельного внимания в разрезе GDPR для финтех-компаний заслуживают:

1. Данные для KYC/AML верификации. Этот вид данных носит особое значение для любого проекта, так как их обработка имеет установленную законом процедуру. Для KYC/AML верификации в компании должна быть отдельная процедура защиты персональных данных, которая будет учитывать требования KYC/AML законодательства в разрезе сроков хранения, сотрудников, у которых есть доступ к данным, и условиям разглашения данных компетентным органам;
2. BankID. Особенность данной технологии в том, что вокруг пользовательского аккаунта накапливается большое количество данных, многие из которых носят чувствительный характер. Используя BankID, пользователь делится накопленными данными с другими компаниями, и неправильно настроенный доступ может привести к утечке данных без ведома или согласия клиента. Кроме того, такая информация не может использоваться в рекламных или маркетинговых целях;
3. Биометрическая идентификация. Использование распознавания лица, отпечатков пальцев или поведенческой биометрии становится всё более популярным при проведении платежей. В то же время, в ЕС данная тема находится в разделе дополнительных ограничений, так как биометрия считается чувствительными данными и регулируется статьёй 9 GDPR.

5 шагов по подготовке к требованиям GDPR для финтех-компаний в Украине:

Illustrations by Freepic Stories

1. Определите карту движения данных. Начните с первичного аудита того, какие данные и зачем вы собираете у ваших пользователей или клиентов. Это поможет посмотреть на картину в целом и не упустить из виду неочевидные категории данных, что в дальнейшем приведёт к нарушению GDPR. Также, подготовка карты движения данных требуется ст. 30 GDPR;
2. Защитите информацию организационными и техническими мерами. Этот шаг основывается на стандартах информационной безопасности и включает в себя систему мер защиты от утечек, от шифрования данных при хранении до ограниченного доступа сотрудников и удаления данных по истечению срока;
3. Создайте Privacy Policy и интерфейс для прав пользователей. У пользователя должен быть доступ к собранным о нём данным, возможность передать данные в другую компанию, исправить или удалить их, а также право запрета на их обработку, если они используются в маркетинговых целях (ст. 12-22 GDPR);
4. Оформите международную передачу данных. GDPR для финтех-компаний в Украине потребует оформить дополнительные контрактные гарантии в виде Standard Contractual Clauses для передачи данных за пределы ЕС (ст. 46 GDPR), а также назначить представителя в Европейском Союзе, если компания зарегистрирована в третьей стране (ст. 27 GDPR);
5. Сформируйте список подрядчиков и партнёров, которым передаются персональные данные. Одна из особенностей защиты персональных данных в финтех - это наличие широкой инфраструктуры из партнёров и подрядчиков, которые отвечают за разные стадии обработки информации и платежей. С каждым из таких подрядчиков нужно подписывать контракт (Data Processing Agreement, ст. 28 GDPR) и убедиться, что он защищает персональные данные по стандартам GDPR.

GDPR для финтех-компаний строится на тех же принципах ст. 6 GDPR, что и в других сферах и технологиях. В то же время, поскольку финансовый сектор основывается на обширной обработке данных пользователей, защита персональных данных в финтех носит целый ряд особенностей.

Подводные камни могут подстерегать финтех-компании в верификационных процедурах или при передаче информации сторонним лицам по их запросу. Чтобы избежать нарушений GDPR и использовать приватность как конкурентное преимущество перед клиентами, вам потребуется чёткая карта движения данных в проекте и постепенный план работ, направленный на соблюдение требований ЕС по защите персональных данных.
Если вопрос защиты персональных данных актуален для вашей компании, мы в Legal Nodes будем рады РЕШИТЬ ВАШИ ЗАДАЧИ.

Влад Некрутенко,

юрист в сфере защиты персональных данных (CIPP/E)