Несмотря на то, что Латвия является одним из европейских лидеров в P2P-кредитовании, кризис, связанный с Covid-19, вызвал потрясения и в отрасли fintech.1 По словам финансового блогера Кристапса Морса (Kristaps Mors), на протяжении последних месяцев четыре латвийские интернет-платформы закрыты либо прекратили денежные выплаты. По его мнению, если тенденция сохранится, Латвия может прославиться как мошеннический центр этой отрасли. Можем предположить, что данные сигналы получила и СГД, а также Государственная инспекция данных, которые продолжают внимательно следить за предпринимательской деятельностью в этой отрасли, обеспечивая соблюдение предприятиями fintech требований нормативных актов.
Предприятиям fintech важно соблюдать требования, следующие из регулирования закона «О предотвращении легализации полученных преступным путем средств и финансирования терроризма и пролиферации» (AML) и Общего регламента по защите данных (GDPR). Несмотря на то, что включение услуг fintech в нормативное регулирование вместе с другими финансовыми услугами обязывает предприятия fintech внедрить масштабные (и большей частью дорогие) перемены, цель Европы при разработке данного регулирования – обеспечить интегрированную защиту данных по умолчанию, а также предоставление устойчивых и конкурентоспособных финансовых услуг.
Кроме того, в Европе учреждения по надзору за данными начали активный контроль предприятий fintech. Например, нидерландское ведомство подвергло усиленному надзору предприятия fintech, чтобы удостовериться в том, что они осознают риски для частной жизни и соблюдают требования GDPR. Не секрет, что предприятия fintech обрабатывают не только платежную информацию клиента (когда, где, что он покупает и сколько платит, формируя известные представления или наблюдения об этом), но и данные деловых партнеров. Очень важно, чтобы предприятия fintech обрабатывали полученные данные осторожно, применяя соответствующие меры безопасности, и чтобы субъекты данных были проинформированы об осуществляемой предприятиями fintech обработке данных.
В нашей публикации мы подготовили краткий обзор важнейших и наиболее актуальных требований AML и GDPR, которые должно обеспечить каждое предприятие fintech в ходе обработки данных в ЕС/ЕЭЗ, независимо от того, где осуществляется предпринимательская деятельность – в ЕС/ЕЭЗ или за его пределами.
Необходимо учитывать, что по отношению к GDPR AML является специальной нормой права. Определение AML используется как описательный термин, обозначающий борьбу с легализацией средств, полученных преступным путем.
В таблице отражены –
- нормы права, включенные в закон «О предотвращении легализации полученных преступным путем средств и финансирования терроризма и пролиферации», исходящие из Директивы Европейского Парламента и Совета (ЕС) № 2018/843 от 30 мая 2018 г., которой внесены поправки в Директиву (ЕС) № 2015/849 о недопущении использования финансовой системы для легализации полученных преступным путем средств или финансирования террористов, которой внесены поправки в Директивы № 2009/138/ЕС и № 2013/36/ЕС;
- нормы права, следующие из Директивы Европейского Парламента и Совета (ЕС) № 2015/2366 от 25 ноября 2015 г. о платежных услугах на внутреннем рынке, которой внесены поправки в Директивы № 2002/65/ЕС, № 2009/110/ЕС и № 2013/36/ЕС, а также Регламент (ЕС) № 1093/2010 и отменена Директива № 2007/64/ЕС (PSD2);
- нормы права, исходящие из GDPR.
|
Регулирование GDPR
|
Ссылка на статью GDPR
|
Санкция
|
|
Основная информация
|
- Применяется ко всем предприятиям fintech, осуществляющим обработку личных данных в ЕС/ЕЭЗ независимо от места ведения предпринимательской деятельности – в ЕС/ЕЭЗ или за его пределами.
- Также относится к администраторам данных, не зарегистрированным в ЕС, однако на которых распространяется действие нормативных актов ЕС (например, иностранным посольствам).
- Предусмотренными GDPR правами может воспользоваться любое лицо, находящееся в ЕС/ЕЭЗ, независимо от его гражданства.
- Согласно PSD2 необходимо соблюдать основные права субъекта данных, в том числе право на конфиденциальность.
- Предприятие fintech может назначить одно ответственное лицо, исполняющее функции контактной точки между субъектами данных ЕС и предприятиями fintech за пределами ЕС/ЕЭЗ.
- GDPR относится только к данным физических лиц. Однако данные юридических лиц тоже могут содержать данные физических лиц, например, информацию о собственниках и членах правления. Если у предприятия всего один владелец, данные о предприятии могут распространяться и на владельца как на физическое лицо.
- Условия PSD2 позволяют потребителям использовать передовые услуги, предлагаемые сторонними сервисными предприятиями или предприятиями fintech, одновременно соблюдая строгую защиту и безопасность данных.
|
|
Юридическое основание для обработки
|
Предприятия fintech обрабатывают личные данные на основании договора, закона или легитимных интересов.
|
Пункты (b), (c), (f) части первой статьи 6
|
До 20 миллионов евро или до 4% от общемирового оборота
|
|
Предприятия fintech также могут обрабатывать личные данные на основании согласия субъекта данных (подпункт (а) части первой статьи 6 GDPR), однако важно не путать согласие, упомянутое в части второй статьи 94 PSD2, с согласием субъекта данных GDPR.
|
|
Заключение договоров об обработке данных
|
Предприятия fintech заключают договоры об обработке данных, одновременно определяя свою роль в конкретном процессе обработки данных – предприятия fintech могут обрабатывать данные как независимые администраторы, как обработчики или как совместные администраторы. В каждой ситуации необходимо оценивать исполняемые в дальнейшем обязанности, в том числе заключение договора об обработке данных.
|
Статья 28
|
До 10 миллионов евро или до 2% от общемирового оборота
|
|
Политики и процедуры
|
Предприятия fintech разрабатывают документ общей политики обработки данных, который наглядно демонстрирует, что обработка осуществляется согласно GDPR.
|
Статья 24 (2)
|
До 10 миллионов евро или до 2% от общемирового оборота
|
|
Субъектам данных на домашних страницах предприятий fintech предоставляется политика cookie-файлов.
|
Статьи 13, 14, 25
|
До 20 миллионов евро или до 4% от общемирового оборота
|
|
На предприятиях fintech разработан порядок оповещения об инцидентах надзорного учреждения в течение 72 часов с момента, когда предприятию стало известно о нарушении.
|
Статья 33 (1)
|
До 10 миллионов евро или до 2% от общемирового оборота
|
|
Субъектам данных предоставляется уведомление о конфиденциальности предприятия fintech, поясняющее обработку данных.
|
Статьи 13 и 14
|
До 20 миллионов евро или до 4% от общемирового оборота
|
(продолжение следует)
________________________________
1 Стартапы, которые используют информационные технологии, чтобы предоставлять имеющиеся финансовые услуги по более выгодной цене, а также предлагать новые технологические решения
