Требования GDPR, которые применяются к компаниям в финансовой сфере

04 февраля 2020

В последнее время, все сферы бизнеса задались вопросом защиты персональных данных, особенно после вступления в силу General Data Protection Regulation (GDPR) в мае 2018 года. Очень чувствительным оказался вопрос внедрения требований нового европейского регламента компаниями, которые работают в финансовой сфере, ведь к ним приковано особое внимание европейских контролирующих органов.

Почему компаниям в финансовой сфере нужно быть настороже

Компании в сфере финансовых отношений, как и компании в других отраслях, подпадающих под требования нового европейского регламента, значительное внимание должны уделять вопросу организации и внедрения мер безопасности обработки персональных данных. Прежде всего, речь идет о персональных данных работников, а также о клиентах финансовых компаний. И хотя информация о персональных данных работников должна обрабатываться в общем порядке, наряду с компаниями в других отраслях, информация о чувствительных персональных данных, сбор которых характерен для компаний в финансовой сфере бизнеса, может требовать от компаний дополнительных организационных действий.

Когда мы говорим о таких финансовых компании как банки или кредитные союзы, мы должны осознавать, что такие бизнес структуры имеют дело с огромным количеством данных, которые могут, в том числе, касаться и личной жизни физических лиц. Например, когда физическое лицо планирует получать кредит, компания может запросить довольно чувствительную персональную информацию от этого лица, обработка которой не должным образом может привести к значительным моральным и физическим страданиям лица. Именно в связи с тем, что обработка персональных данных компаниями в финансовой сфере является достаточно рискованной для самой компании и для физических лиц, чьи персональные данные обрабатываются, для таких компаний могут предусматриваться особые требования, о которых будет раскрыто ниже в этой статье.

Скоринг и оценка рисков компании

Одной из основных особенностей обработки персональных данных компаниями в финансовой сфере является использование так называемых «инструментов скоринга», которые используются для оценки платежеспособности физического лица или с целью определения и анализа его кредитной истории в контексте взаимодействия с теми или иными финансовыми учреждениями.

Если же говорить о применении скоринга, то следует сразу заметить об обострении внимания на тех аспектах, которые GDPR определяет такими, что заставляют компанию максимально тесно сотрудничать с физическими лицами, персональные данные о которых обрабатываются. Речь идет о таких аспектах как:

  • Создание профиля клиента или потенциального клиента;
  • Автоматическое принятие решения в отношении клиента или потенциального клиента в контексте обработки его персональных данных.

Именно применение этих особенностей заставляют компании получать дополнительные согласования от физических лиц, а также обеспечивать им возможность реализации права на возражение автоматического принятия решения в отношении их самих, без вмешательства физического лица-работника компании, а также на создание профиля и использования его с целью создания так называемых «черных списков» клиентов.

Так что нужно понимать, что, не обеспечив технические и организационные мероприятия с целью гарантировать выполнение предусмотренных выше требований GDPR, компания не может использовать скоринг как таковой. В противном случае, компания может стать «мишенью» по применению штрафных санкций.

Оценка рисков в процессе обработки персональных данных — это важно

Риск — это понятие, которое сопровождает бизнес в сфере финансов на постоянной основе. И хотя такой термин касался исключительно ведения бизнеса, сейчас риски возникают и в сфере обработки персональных данных и конфиденциальности. В этом случае, имеется в виду, что компаниям следует позаботиться о безопасности конфиденциальной информации как своей собственной, так и о безопасности персональных данных своих клиентов.

GDPR предусматривает, что каждая компании, в том числе и финансовая, должна принимать все необходимые технические и организационные меры для обеспечения уровня безопасности обработки данных, который бы отвечал выявленным рискам.

С целью понять, какие риски существуют, компании стоит:

во-первых, осуществить оценку рисков в контексте информации безопасности, включая оценку рисков в пределах кибербезопасности, а также в пределах физических мер безопасности;

во-вторых, осуществить оценку рисков влияния на защиту данных, предусматривающих определение рисков угрозы для персональных данных физического лица, в том числе в результате инцидентов, связанных с нарушением информационной безопасности.

Следовательно, компаниям, перед началом обработки персональных данных физических лиц, нужно определить все существующие и потенциальные риски, а также осуществить необходимый комплекс мероприятий по устранению рисков или предотвращению наступления рисков в будущем.

Назначение DPO — необходимость, нежели пример хороших манер

О назначении офицера по защите данных уже слагают легенды, но в наших предыдущих материалах мы раскрывали основную сущность этой роли, а также ситуации, когда Data Protection Officer (DPO) должен быть назначен. Что же касается компаний финансового сектора, то в этом случае, по нашему мнению, назначение такого лица как DPO должно быть обязательным. Такая необходимость предопределена прежде всего тем, что компания:

  • осуществляет обработку персональных данных в большом объеме;
  • осуществляет обработку чувствительных персональных данных, в том числе это могут быть данные о состоянии здоровья физического лица;
  • использует скоринг для анализа своих клиентов перед предоставления им тех или иных финансовых услуг.

Самым главным правилом в процессе назначения офицера по защите данных является то, что он не может быть одновременно также и специалистом, который внедряет меры безопасности, касательно обработки персональных данных в рамках компании, ведь такая практика не является приемлемой в разрезе последних решений судебных инстанций Европейского Союза.

Обеспечение доступа к персональной информации

По требованию GDPR, компания должна предоставлять физическому лицу, чьи персональные данные обрабатываются, возможность доступа к своим персональным данным. Предоставление возможности и техническое обеспечение реализации такого права значительно добавляет трастовости компании, как в глазах контролирующих органов, так и в глазах своих клиентов. Не стоит и говорить, что, когда компания максимально прозрачно осуществляет все операции, связанные с реализацией своего бизнеса, в том числе в рамках обработки персональных данных, интерес к ней со стороны потенциальных клиентов, значительно растет.

Итак, владельцам финансовых компаний необходимо иметь в виду, что их предприятия находятся в зоне особого внимания и это должно стать одним из ключевых факторов в подготовке компании к новым вызовам, которые устанавливаются новым европейским законодательством о защите персональных данных и не только.

Итог

Игнорирование требований законодательства ЕС в части обработки персональных данных, может привести к привлечению к ответственности компании, в том числе к наложению штрафных санкций. Поэтому, компания BSO Privacy Group готова максимально помочь вам адаптировать ваш бизнес, по вопросам обработки персональных данных, к требованиям GDPR и другому законодательству.