Lai gan Latvija P2P kreditēšanā ir viena no Eiropas līderēm, Covid-19 krīze ir satricinājusi arī fintech1 nozari. Kā norāda finanšu blogeris Kristaps Mors, pēdējos mēnešos četras Latvijas interneta platformas ir slēgtas vai pārtraukušas izmaksāt naudu. Viņaprāt, tendencei turpinoties, Latvija var kļūt slavena kā šīs nozares krāpšanas centrs. Pieņemam, ka šos signālus uztver arī VID un Datu valsts inspekcija, kas turpina rūpīgi sekot līdzi nozares uzņēmējdarbībai, lai fintech uzņēmumi ievērotu normatīvo aktu prasības.
Fintech uzņēmumiem svarīgi ir ievērot prasības, kas izriet no Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likuma (“AML”) un Vispārīgās datu aizsardzības regulas (“GDPR”) regulējuma. Lai gan fintech pakalpojumu iekļaušana normatīvajā regulējumā kopā ar citiem finanšu pakalpojumiem uzliek pienākumu fintech uzņēmumiem veikt ievērojamas (un lielākoties dārgas) pārmaiņas, Eiropas mērķis šī regulējuma izstrādē ir nodrošināt integrētu datu aizsardzību pēc noklusējuma, kā arī nodrošināt ilgtspējīgu un konkurētspējīgu finanšu pakalpojumu sniegšanu.
Eiropā aktīvi kontrolēt fintech uzņēmumus ir sākušas arī datu uzraudzības iestādes. Piemēram, Nīderlandes datu uzraudzības iestāde ir uzsākusi pastiprinātu fintech uzņēmumu uzraudzību, lai pārliecinātos, ka tie apzinās personas privātuma riskus un ievēro GDPR prasības. Nav noslēpums, ka fintech uzņēmumi apstrādā ne tikai klienta maksājumu datus (kad, kur, ko pērk un cik samaksā, par to veidojot zināmus priekšstatus vai novērojumus), bet arī darījumu partneru datus. Ir ļoti svarīgi, lai fintech uzņēmumi iegūtos datus apstrādātu uzmanīgi, ievērojot atbilstošus drošības pasākumus, un lai datu subjekti būtu informēti par fintech uzņēmumu veikto datu apstrādi.
Esam sagatavojuši īsu pārskatu ar svarīgākajām un aktuālākajām AML un GDPR prasībām, kas jānodrošina katram fintech uzņēmumam, veicot datu apstrādi ES/EEZ, neatkarīgi no tā, vai uzņēmējdarbība notiek ES/EEZ vai ārpus tām.
Jāņem vērā, ka AML attiecībā pret GDPR ir speciālā tiesību norma. AML definīciju izmanto kā aprakstošu terminu cīņai pret nelikumīgi iegūtu līdzekļu legalizēšanu.
Tabulā ir atspoguļotas –
- Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumā iekļautās tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2018. gada 30. maija Direktīvas (ES) 2018/843, ar ko groza Direktīvu (ES) 2015/849 par to, lai nepieļautu finanšu sistēmas izmantošanu nelikumīgi iegūtu līdzekļu legalizēšanai vai teroristu finansēšanai, un ar ko groza Direktīvas 2009/138/EK un 2013/36/ES;
- tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2015. gada 25. novembra Direktīvas (ES) 2015/2366 par maksājumu pakalpojumiem iekšējā tirgū, ar ko groza Direktīvas 2002/65/EK, 2009/110/EK un 2013/36/ES un Regulu (ES) Nr. 1093/2010 un atceļ Direktīvu 2007/64/EK (“PSD2”);
- no GDPR izrietošās tiesību normas.
|
GDPR regulējums
|
Atsauce uz GDPR pantu
|
Sods
|
|
Pamatinformācija
|
- Piemēro visiem fintech uzņēmumiem, kas veic personas datu apstrādi ES/EEZ, neatkarīgi no tā, vai uzņēmums veic uzņēmējdarbību ES/EEZ vai ārpus tās.
- Piemēro arī datu pārziņiem, kas nav reģistrēti ES, bet kuriem piemēro ES tiesību aktus (piemēram, ārvalstu vēstniecībām).
- GDPR noteiktās tiesības var izmantot ikviena persona, kas atrodas ES/EEZ, neatkarīgi no pilsonības.
- Saskaņā ar PSD2 nepieciešams ievērot datu subjekta pamattiesības, tostarp tiesības uz privātumu.
- Fintech uzņēmums var nozīmēt vienu atbildīgo personu, kas darbotos kā kontaktpunkts starp ES datu subjektiem un fintech uzņēmumiem ārpus ES/EEZ.
- GDPR attiecas tikai uz privātpersonu datiem. Tomēr arī juridisko personu dati var ietvert privātpersonu datus, piemēram, informāciju par īpašniekiem un valdes locekļiem. Ja uzņēmumam ir tikai viens īpašnieks, tad dati par uzņēmumu var attiekties arī uz īpašnieku kā privātpersonu.
- PSD2 noteikumi ļauj patērētājiem izmantot inovatīvus pakalpojumus, ko piedāvā trešo personu pakalpojumu sniedzēji jeb fintech uzņēmumi, vienlaikus saglabājot stingru datu aizsardzību un drošību.
|
|
Tiesisks apstrādes pamats
|
Fintech uzņēmumi apstrādā personas datus uz līguma, likuma vai leģitīmu interešu pamata.
|
6. panta pirmās daļas (b), (c), (f)
|
Līdz 20 miljoniem eiro vai līdz 4% no kopējā globālā apgrozījuma
|
|
Fintech uzņēmumi var apstrādāt personas datus arī uz datu subjekta piekrišanas pamata (GDPR 6. panta pirmās daļas a) apakšpunkts), bet svarīgi nejaukt PSD2 94. panta otrajā daļā minēto piekrišanu ar GDPR datu subjekta piekrišanu.
|
|
Datu apstrādes līgumu noslēgšana
|
Fintech uzņēmumi slēdz datu apstrādes līgumus, vienlaikus nosakot arī savu lomu konkrētajā datu apstrādes procesā – fintech uzņēmumi var apstrādāt datus kā neatkarīgi pārziņi, kā apstrādātāji vai kā kopīgi pārziņi. Katrā situācijā jāvērtē turpmāk veicamie pienākumi, tostarp datu apstrādes līguma noslēgšana.
|
28. pants
|
Līdz 10 miljoniem eiro vai līdz 2% no kopējā globālā apgrozījuma
|
|
Politikas un procedūras
|
Fintech uzņēmumi izstrādā vispārīgās datu apstrādes politikas dokumentu, kas uzskatāmi demonstrē, ka apstrāde tiek veikta saskaņā ar GDPR.
|
24. pants (2)
|
Līdz 10 miljoniem eiro vai līdz 2% no kopējā globālā apgrozījuma
|
|
Fintech uzņēmumu mājaslapās datu subjektiem ir pieejama sīkdatņu politika.
|
13., 14., 25. pants
|
Līdz 20 miljoniem eiro vai līdz 4% no kopējā globālā apgrozījuma
|
|
Fintech uzņēmumos ir izstrādāta incidentu ziņošanas kārtība uzraudzības iestādei 72 stundu laikā no brīža, kad pārkāpums kļuvis zināms uzņēmumam.
|
33. panta (1)
|
Līdz 10 miljoniem eiro vai līdz 2% no kopējā globālā apgrozījuma
|
|
Datu subjektiem ir pieejams fintech uzņēmuma privātuma paziņojums par veikto datu apstrādi.
|
13. un 14. pants
|
Līdz 20 miljoniem eiro vai līdz 4% no kopējā globālā apgrozījuma
|
(turpmāk vēl)
____________________________________
1 Jaunuzņēmumi, kas izmanto informācijas tehnoloģijas, lai esošos finanšu pakalpojumus piedāvātu par izdevīgāku cenu un piedāvātu jaunus tehnoloģiskus risinājumus
