poster
Для стартапів

Защита Персональных Данных и GDPR для Финтех-компаний в Украине

Украинские финтех-компании считают соответствие регуляторным требованиям, куда входит и защита персональных данных, вызовом №1 для своей сферы. Эта статья посвящена теме защиты персональных данных в сфере финтех, в соответствии с европейским регулированием GDPR. Материал отвечает на три ключевых вопроса:

  1. Каким проектам нужно соответствовать требованиям GDPR;
  2. Какие данные нужно защищать;
  3. Что делать для подготовки к требованиям GDPR.

Каким финтех-проектам нужен GDPR

Можно выделить три группы финтех-компаний в Украине, которым нужен GDPR:

  1. Компаниям, у которых финансовая лицензия, офис, или счета находятся в одной из стран ЕС. Популярными проектами с финансовыми лицензиями в ЕС являются платёжные системы, которые открывают счета клиентам и предоставляют потребительские кредиты;
  2. Проекты, которые предоставляют продукты и услуги на европейском рынке с территории Украины или других стран. Если компания предоставляет интерфейс на одном из языков ЕС, принимает европейскую валюту в качестве оплаты или упоминает европейцев в отзывах клиентов, GDPR будет иметь действие для финтех-компаний, зарегистрированных в Украине. Один из распространённых примеров - это компании, которые предлагают приложения для учёта финансов и ведения финансовой отчётности для пользователей в ЕС;
  3. B2B процессинговые системы - украинские компании, которые предлагают проектам из Европы услуги по платёжной инфраструктуре, приёму и обработке веб- и мобильных платежей. В таком случае, европейские компании вправе подключать только тех провайдеров, которые предоставляют достаточные гарантии защиты данных в соответствии со статьёй 28 GDPR.

Какие данные нужно защищать

Защита персональных данных в финтех касается обработки информации о человеке, не затрагивая данные о компаниях или других видах юридических лиц. По определению, персональные данные - это любая информация о человеке, которого можно идентифицировать с помощью имени, адреса или ID. К персональным данным относятся история транзакций пользователя, кредитная история и рейтинг, логи его онлайн-активности и местоположение, платёжные реквизиты. Отдельного внимания в разрезе GDPR для финтех-компаний заслуживают:

  1. Данные для KYC/AML верификации. Этот вид данных носит особое значение для любого проекта, так как их обработка имеет установленную законом процедуру. Для KYC/AML верификации в компании должна быть отдельная процедура защиты персональных данных, которая будет учитывать требования KYC/AML законодательства в разрезе сроков хранения, сотрудников, у которых есть доступ к данным, и условиям разглашения данных компетентным органам;
  2. BankID. Особенность данной технологии в том, что вокруг пользовательского аккаунта накапливается большое количество данных, многие из которых носят чувствительный характер. Используя BankID, пользователь делится накопленными данными с другими компаниями, и неправильно настроенный доступ может привести к утечке данных без ведома или согласия клиента. Кроме того, такая информация не может использоваться в рекламных или маркетинговых целях;
  3. Биометрическая идентификация. Использование распознавания лица, отпечатков пальцев или поведенческой биометрии становится всё более популярным при проведении платежей. В то же время, в ЕС данная тема находится в разделе дополнительных ограничений, так как биометрия считается чувствительными данными и регулируется статьёй 9 GDPR.

5 шагов по подготовке к требованиям GDPR для финтех-компаний в Украине:

GDPR для Финтех-компаний: 5 шагов

Illustrations by Freepic Stories

  1. Определите карту движения данных. Начните с первичного аудита того, какие данные и зачем вы собираете у ваших пользователей или клиентов. Это поможет посмотреть на картину в целом и не упустить из виду неочевидные категории данных, что в дальнейшем приведёт к нарушению GDPR. Также, подготовка карты движения данных требуется ст. 30 GDPR;
  2. Защитите информацию организационными и техническими мерами. Этот шаг основывается на стандартах информационной безопасности и включает в себя систему мер защиты от утечек, от шифрования данных при хранении до ограниченного доступа сотрудников и удаления данных по истечению срока;
  3. Создайте Privacy Policy и интерфейс для прав пользователей. У пользователя должен быть доступ к собранным о нём данным, возможность передать данные в другую компанию, исправить или удалить их, а также право запрета на их обработку, если они используются в маркетинговых целях (ст. 12-22 GDPR);
  4. Оформите международную передачу данных. GDPR для финтех-компаний в Украине потребует оформить дополнительные контрактные гарантии в виде Standard Contractual Clauses для передачи данных за пределы ЕС (ст. 46 GDPR), а также назначить представителя в Европейском Союзе, если компания зарегистрирована в третьей стране (ст. 27 GDPR);
  5. Сформируйте список подрядчиков и партнёров, которым передаются персональные данные. Одна из особенностей защиты персональных данных в финтех - это наличие широкой инфраструктуры из партнёров и подрядчиков, которые отвечают за разные стадии обработки информации и платежей. С каждым из таких подрядчиков нужно подписывать контракт (Data Processing Agreement, ст. 28 GDPR) и убедиться, что он защищает персональные данные по стандартам GDPR.

GDPR для финтех-компаний строится на тех же принципах ст. 6 GDPR, что и в других сферах и технологиях. В то же время, поскольку финансовый сектор основывается на обширной обработке данных пользователей, защита персональных данных в финтех носит целый ряд особенностей.

Подводные камни могут подстерегать финтех-компании в верификационных процедурах или при передаче информации сторонним лицам по их запросу. Чтобы избежать нарушений GDPR и использовать приватность как конкурентное преимущество перед клиентами, вам потребуется чёткая карта движения данных в проекте и постепенный план работ, направленный на соблюдение требований ЕС по защите персональных данных.

 

Влад Некрутенко,

юрист в сфере защиты персональных данных (CIPP/E)

Нужен адвокат в этой области?

avatar checked

Влад

Украина

3 года опыта

Опыт
Влад является экспертом в области защиты приватности и соблюдения требований европейского законодат...
выбрать
выбрать

Блог Legal Nodes

Для Стартапов
Как стартапу юридически правильно запустить производство hardware-продукта?

Решиться на создание своего бизнеса в сфере hardware может быть сложно, понимания весь массив предстоящей работы. В этой статье ты найдешь юридический чек-лист того, о чем нужно позаботиться при запуске своего hardware производства....

Команда Legal Nodes
Персональные данные(GDPR)
Data Protection Officer (DPO) по подписке: как компаниям, работающим с персональными данными, соответствовать GDPR без проблем

Месячная подписка позволяет закрывать потребность в защите персональных данных, соответствовать GDPR и легко прогнозировать свои траты на legal. Концепция "DPO по подписке” позволяет фаундерам в первую очередь вкладывать деньги в развитие своего...

Команда Legal Nodes
Для Стартапов
Юрисконсульт по подписке: как современному стартапу облегчить юридическую рутину

Концепция lawyer-as-a-service (юрист по подписке) позволяет фаундерам заниматься развитием стартапа, а не юридической рутиной, забыть о дорогостоящих юрфирмах, длительных коммуникациях с юристами или о необходимости нанимать собственного юриста....

Команда Legal Nodes
Персональные данные(GDPR)
Cookie Policy: как отслеживать работу вашего сайта, не нарушая требований GDPR? + шаблон Cookie Policy

Эта статья поможет разобраться в типичных ошибках при сборе файлов cookie и необходимых мерах для соблюдения законов Европейского Союза о защите данных. В конце статьи вы бесплатно сможете получить шаблон Cookie Policy для вашего сайта. ...

Команда Legal Nodes
Для Стартапов
Какие юридические документы необходимо собрать стартапу, чтобы успешно отчитываться перед USF (Ukrainian Startup Fund)?

Если ваш стартап уже начал работу с USF или только планирует участвовать в грантовой программе, команда Legal Nodes будет рада поделиться с Вами шаблонами юридических документов для успешной подачи отчетности в USF....

Команда Legal Nodes
Общее
Legal Nodes в 2020: итоги года

Несмотря на то, что для многих 2020 год будет теперь прочно ассоциироваться с пандемией коронавируса и локдауном, было бы ошибкой забыть всё хорошее, что произошло в этом году. Особенно сейчас, в преддверии праздников, когда в воздухе витает дух...

Команда Legal Nodes
КИК
10 тезисов о КИК, которые должен знать каждый предприниматель с зарубежной компанией

Команда Legal Nodes провела панельную дискуссию с тремя налоговыми экспертами, чтобы прояснить что же такое КИК, когда всё таки Закон 466 вступает в силу и какие новые налоговые обязанности возникают у украинского зарубежного бизнеса по КИК. Эта...

Команда Legal Nodes
Защита инт. собственности
Как бизнесу защитить интеллектуальную собственность: 4 рекомендации от юристов

Команда Legal Nodes решила разобраться в том, какие шаги нужно обязательно предпринять бизнесу для защиты интеллектуальной собственности, и подготовила 4 рекомендации предпринимателям с учетом громких скандалов в этой сфере....

Команда Legal Nodes
Общее
5 шагов для открытия фирмы в Литве

Литва — это самая крупная страна Балтии и страна-член ЕС, занимает 11 место в мире в рейтинге легкости ведения бизнеса от Всемирного банка, 4 место по простоте регистрации недвижимости и 7 — по механизмам обеспечения выполнения договорных обязат...

Команда Legal Nodes