Вимоги GDPR, які застосовуються до компаній у фінансовій сфері

04 Лютого 2020

Останнім часом, всі сфери бізнесу перейнялися питанням захисту персональних даних, особливо після набрання чинності General Data Protection Regulation (GDPR) в травні 2018 року. Надзвичайно чутливим виявилося питання впровадження вимог нового європейського регламенту компаніями, які працюють в фінансовій сфері, адже до них прикута особлива увага європейських контролюючих органів.

Чому компаніям в фінансовій сфері потрібно бути насторожі

Компанії в сфері фінансових відносин, як і компанії в інших галузях, що підпадають під вимоги нового європейського регламенту, значну увагу повинні приділяти питання організації та впровадження заходів безпеки обробки персональних даних. Насамперед мова йде про персональні дані працівників, а також про клієнтів фінансових компаній. І хоча інформація про персональні дані працівників повинна оброблюватися в загальному порядку, на ряду з компаніями в інших галузях, інформація про чутливі персональні дані, збирання яких є притаманним для  компаній у фінансовій сфері бізнесу, може вимагати від компаній додаткових організаційних дій.

Коли ми говоримо про такі фінансові компанії як банки або кредитні спілки, ми повинні усвідомлювати, що такі бізнес структури мають справу з величезною кількістю даних, які можуть, в тому числі, стосуватися і особистого життя фізичних осіб. Наприклад, коли фізична особа планує отримувати кредит, компанія може запросити доволі чутливу персональну інформацію від цієї особи, обробка якої не належним чином може спричинити значні моральні та фізичні страждання особі.  Саме у зв’язку з тим, що обробка персональних даних компаніями у фінансовій сфері є досить ризиковою для самої компанії та для фізичних осіб, чиї персональні дані оброблюються, до таких компаній можуть передбачатися особливі вимоги, про які буде розкрито нижче в цій статті.

Скоринг та оцінка ризиків компанії 

Однією з основних  особливостей обробки персональних даних компаніями в фінансовій сфері є використання так званих «інструментів скорингу» які використовуються з метою оцінки платоспроможності фізичної особи або ж з метою визначення та аналізу його кредитної історії, в контексті взаємодії з тими чи іншими фінансовими установами.

Коли ж говорити про застосування скорингу, то тут слід відразу зауважити про загострення уваги на тих аспектах, які GDPR визначає такими, що змушують компанію максимально тісно співпрацювати з фізичними особами, персональні дані про яких оброблюються. Мова йде про такі аспекти як:

  • Створення профайлу про клієнта або потенційного клієнта;
  • Автоматичне прийняття рішення щодо клієнта або потенційного клієнта, в контексті обробки його персональних даних.

Саме застосування цих особливостей змушують компанії отримувати додаткові погодження від фізичних осіб, а також забезпечувати їм можливість реалізації права на заперечення автоматичного прийняття рішення щодо особи, без втручання фізичної особи-працівника компанії, а також на створення профайлу та використання його з ціллю створення так званих «чорних списків» клієнтів.

Отже потрібно розуміти, що не забезпечивши технічні та організаційні заходи з ціллю гарантувати виконання передбачених вище вимог GDPR, компанія не може використовувати скоринг як такий. В іншому випадку, компанія може стати «мішенню» щодо застосування штрафних санкцій.

Оцінка ризиків в процесі обробки персональних даних – це важливо

Ризиковість – це термін, який супроводжує бізнес в сфері фінансів на постійній основі. І хоча раніше такий термін стосувався виключно ведення бізнесу, зараз ризики виникають і в сфері обробки персональних даних та конфіденційності. В цьому випадку, мається на увазі, що компанії варто подбати про безпеку конфіденційної інформації як своєї власної, так і про безпеку персональних даних свої клієнтів.

GDPR передбачає, що кожна компанії, в тому числі і фінансові, повинні вживати всіх необхідних технічних та організаційних заходів для забезпечення рівня безпеки обробки даних, який би відповідав виявленим ризикам.

З метою зрозуміти, які ризики існують, компанії варто:

             по-перше, здійснити оцінювання ризиків в контексті інформації безпеки, що включає оцінку ризиків в межах кібер безпеки, а також в межах фізичних заходів безпеки;

             по-друге, здійснити оцінювання ризиків впливу на захист даних, що передбачає визначення ризиків загрози для персональних даних фізичної особи, в тому числі в результаті інцидентів, пов’язаних з порушенням інформаційної безпеки.

Отже, компанії, перед початком обробки персональних даних фізичних осіб, потрібно визначити всі існуючі та потенційні ризики, а також здійснити необхідний комплекс заходів по усуненню ризиків або запобіганню настанню ризиків в майбутньому.

Призначення DPO – необхідність, а ніж приклад гарних манер

Про призначення офіцера по захисту даних вже складають легенди, але в наших попередніх матеріалах ми розкривали основну сутність цієї ролі, а також ситуації, коли Data Protection Officer (DPO) повинен бути призначений. Що ж стосується компаній фінансового сектору, то в цьому випадку, на нашу думку, призначення такої особи як DPO повинне бути обов’язковим. Така необхідність передумовлена перш за все тим, що компанія:

  • здійснює обробку персональних даних у великому об’ємі;
  • здійснює обробку чутливих персональних даних, в тому числі це можуть бути дані про стан здоров’я фізичної особи;
  • використовує скоринг для аналізу своїх клієнтів перед надання їм тих чи інших фінансових послуг.

Самим головним правилом в процесі призначення офіцера по захисту даних є те, що він не може бути одночасно також і спеціалістом, який впроваджує заходи безпеки обробки персональних даних в рамках компанії, адже така практика не є прийнятною в розрізі останніх рішень судових інстанцій Європейського Союзу.

Забезпечення доступу до персональної інформації

На вимогу GDPR, компанія повинна надавати фізичній особі, чиї персональні дані оброблюються,  можливість доступу до своїх персональних даних. Надання можливості та технічне забезпечення реалізації такого права значно додає трастовості компанії, як в очах контролюючих органів, так і в очах своїх клієнтів. Не варто й говорити, що коли компанія максимально прозоро здійснює всі операції, пов’язані з реалізацією свого бізнесу, в тому числі в рамках обробки персональних даних, інтерес до неї з боку потенційних клієнтів, значно зростатиме.

Отже, власникам фінансових компаній необхідно мати на увазі, що їхні підприємства знаходяться в зоні особливої уваги і це повинно стати одним з ключових факторів у підготовці компанії до нових викликів, які встановлюються новим європейським законодавством про захист персональних даних і не тільки.