Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Стандарти и регулации
бр. 11, 2017

Финансовите институции и изискванията на GDPR

от , 23 ноември 2017 0 176 прочитания,

Велиян Димитров

Общият регламент за защита на данните (GDPR) отбелязва стъпка на развитие в областта на правото на ЕС за защита на данните. GDPR ще има директен ефект във всички държави членки на ЕС от 25 май 2018 г. Ще замени действащото право на ЕС за защитата на личните данни и неприкосновеността на личния живот, включително Директивата за защита на данните 95/46/ЕО. Основните принципи на съществуващия режим ще бъдат запазени, но GDPR ще въведе няколко нови концепции и нови права на субектите на данни. Някои от тези концепции определено ще окажат влияние с изискванията си и ще наложат на финансовите институции мерки, които се изразяват в промени както при обработването, така и при използването на лични данни.

Един от най-важни аспекти на новия режим за компаниите от тази индустрия е демонстрирането на мерките за сигурност на личните данни пред надзорния орган.
От гледна точка на обхвата, заслужава да се отбележи, че GDPR ще се прилага за администратори и обработващите лични данни установени както в ЕС, така и извън него, чиято дейност е свързана с предлагането на стоки или финансови услуги за физически лица в ЕС. Достатъчно е субектите на данни да са граждани на ЕС, за да попада дадена финансова институция в обхвата на регламента, поради което ще трябва да изпълнява изискванията на регламента.

Заложените в регламента принципите за обработване на лични данни и правата на субектите на данни са свързани с дейността на финансовите институции. Основните моменти, които се отнасят до тези връзки са изложени в останалата част от статията.


Финансовите институции и изискванията на GDPR


Отчетност и прозрачност. Отчетността е един от основните принципи на GDPR. Администраторите на данни ще трябва непрекъснато да са в състояние да доказват, че всички дейности по обработването на лични данните отговарят на изискванията на GDPR. Ще трябва да водят регистри за тези дейности и да ги предоставят на надзорните органи при поискване. Принципът на отчетност не е нов в контекста на защитата на данните от страна на финансовите институции.

GDPR съдържа и всеобхватно изискване за прозрачност. То важи за целия жизнен цикъл на личните данни, които се събират и обработват от финансовите институции. Жизненият цикъл на данните от своя страна според регламента е строго определен за всички видове лични данни и при всякакви обстоятелства за обработване и употреба. Администраторите на данни ще трябва да предоставят по-подробни информационни съобщения на субектите на данни относно обработването на техните данни. Финансовите институциите ще трябва да гарантират, че техните публикувани в електронен вид и на хартиен носител условия съдържат изчерпателна информация, която трябва да бъде съобщена на субектите на данни (в терминологията и обхвата на GDPR) и да предоставят тази информация в сбита, ясна форма и по разбираем начин.

Съгласие. Голяма част от процесите по събиране и обработване на лични  данни, които се извършват днес, са основани на съглашения, които се приемат от крайните потребители онлайн. Компаниите предлагат в тези съглашения защита на "законни интереси" и възможност за "съгласие", но от 25.05.2018 г., този и всички следващи етапи от отношенията със субектите на данни, се базират на законна основа за обработването на лични данни съгласно GDPR. Съгласието по GDPR трябва да бъде "дадено свободно, конкретно, информирано и недвусмислено" и в някои случаи "изрично" (включително във връзка с обработването на "чувствителни" данни, в обхвата на които влизат генетични и биометрични данни). Приемането по премълчаване, използването на предварително маркирани боксове или неактивност вече не може да се счита за съгласие. Изричното съгласие ще изисква обектът на данните действително да се "включи" (например чрез отметка) или чрез декларативно съгласие.

В сравнение със съществуващите досега официални документи с изисквания по темата „съгласие на субекта на данните“ GDPR е по-взискателен в няколко аспекта. Администраторът вече не може да налага съгласието да бъде условие за получаване на услугата, освен ако обработването е необходимо за получаването ѝ. Съгласието трябва да е специфично за всяка операция по обработване на данни. Субектът на данни също ще има право да оттегли съгласието си и е необходимо това оттегляне да бъде също толкова лесно, колкото при даването му.

Поверителност по дизайн или "защита на данните на етапа на проектирането". Според GDPR администраторите на данни ще трябва да вземат предвид рисковете, свързани с поверителността, още при инициализацията на всеки нов проект. В текста на регламента този подход се нарича "защита на данните на етапа на проектирането" (confidentiality by design). Финансовите институции вече ще трябва да изпълняват изискването личните данни да се отчитат през целия жизнен цикъл, при всяко обработване. След като се приложи GDPR, ще бъдат обект на специално задължение да разглеждат сигурността на личните данни като изискване при подготовката на нови продукти и услуги. Тези, които прилагат тази добра практика, ще са изрядни по отношение на спазването на изискванията, а за други ще се наложат промени в корпоративните политики, процедури и системи.

Ще се прилага и конкретно изискване за поверителност по подразбиране. Администраторите ще трябва да сведат до минимум размера на събраните данни, степента на обработка, периода на тяхното съхранение и достъпността им. Това означава, че финансовите институции следва по подразбиране да обработват личните данни до степента, необходима за предназначението им и не трябва да ги съхраняват по-дълго от необходимото за тези цели. За да се постигне това на практика е възможно използване на техники за псевдонимизация, както препоръчва и регламента.

Профилиране. Навлизащата индустрия за анализ на големи масиви с данни зависи в определена степен от "профилирането". Финансовите институции продължават да усъвършенстват технологичния си инструментариум си за работа с големи масиви с данни и да ги използват, за да подобрят услугите си към клиентите, да намалят риска и да изпълнят регулаторните цели.
Съществуващото напрежение между текущите режими за защита на данните и използването на съвременните мощни методи за анализи на големи масиви с данни вероятно ще намалее след влизането на регламента в сила на през май 2018 г.

За разлика от Директивата за защита на данните 95/46/ЕО, GDPR налага специфични регулации за "профилиране", определени като "всяка форма на автоматизирано обработване на лични данни за оценяване на определени лични аспекти, свързани с физическото лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, икономическото състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение".

Според GDPR, когато профилирането е в основата на автоматизираните решения то ще бъде разрешено, ако субектът на данните е предоставил "изрично" съгласие или когато това е необходимо за изпълнението на договор или разрешено по друг начин съгласно приложимото законодателство.

Вероятно ще има някои спорни практики, особено в отсъствието на законодателство, което изрично позволява съществуващите понастоящем методи да профилиране. Например, може да се окаже трудно за доказване, че профилирането за анализ на измамите е строго необходимо за изпълнението на съответния договор.

Профилирането ще бъде допустимо и по GDPR, когато то "няма правни последици по отношение на индивида или не го засяга по подобен начин". Тълкуването на тази фраза може да се различава между държавите-членки, въпреки че съображенията например за "автоматичен отказ на онлайн заявление за кредит" навсякъде си приличат. "Профилирането" въз основа на чувствителни лични данни, например в случая финансово състояние на потенциален кандидат за кредит, ще бъде разрешено при изключителни обстоятелства.

При използване на профилиране, ще трябва да извърши оценка на въздействието върху субектите на данните. Изисква се администраторите да преценят необходимостта и пропорционалността на предложеното обработване, как влияят върху личната неприкосновеност на засегнатите лица и мерки, които администраторът на данните ще предприеме, за да отговори на тези рискове.

Преносимост на данните и правото да бъдеш забравен. Съгласно GDPR лицата могат да поискат да получат обратно своите лични данни в използваем формат, така че да могат да бъдат прехвърлени на друг администратор на лични данни (преносимост на данни) или да искат личните им данни да бъдат изтрити при някои обстоятелства (известни като "правото да бъдеш забравен"). Индивидите ще имат и правото да се откажат от ползването на данните им за директен маркетинг.

Правото да бъдеш забравен се упражнява, когато данните вече не са необходими за целите, за които са събрани или обработени.

Финансовите институции следва също да изпълняват необходимите технически и организационни мерки, за да осигурят своевременни и подходящи отговори на исканията за предоставяне на данни въз основа на разширяващите се права на субектите на данни според GDPR. За да могат да изпълнят тези изисквания, финансовите институции ще трябва да въведат правилните процеси, което ще рече освен с желанията на субекта на данните, да се съобразяват и със законовите изисквания за съответните срокове за съхраняване на данните.

Всяка финансова институция, която обработва лични данни, ще се нуждае от съответствие с GDPR, за да продължи обработването на данни, без за прекъсва бизнеса си. Като цяло финансовите институции обработват лични данни, за да изпълнят задълженията си, като сключат договори със субекта на данни, като например договор за сметка, договор за кредит или при изпълнение на правно задължение. При условие, че обработването е необходимо за тази цел, не е необходима допълнителна легитимация. За операции по обработване, които не са необходими за изпълнението на споразумение, институциите се нуждаят от друга легитимна основа, като "съгласие" на субекта на данните. Това съгласие трябва да бъде "дадено свободно, конкретно, информирано и ясно". Това изисква по-специално предоставянето на адекватна информация за правото на съгласие. По тази причина институциите не могат да разчитат на общи условия или общи изявления, а ще трябва да поискат от отделния индивид за всеки конкретен вид финансови операции.

Оценките на въздействието върху защитата на данните, предвидени за сделки с висок риск, ще станат задължителни за финансовите институции, тъй като те работят с големи количества поверителни данни за клиентите.

Уведомяване за нарушение на сигурността на данните. Възможно е нарушаването на сигурността на личните данни "да изложи на риск правата и свободите на физическото лице". Става задължително да се уведомява незабавно надзорният орган за нарушения на сигурността на данните, ако нарушението има вероятност да създаде "висок риск за правата и свободите" за реален субект. Тогава лицето трябва да бъде информирано. Финансовите институции следва да изпълняват тези задължения заедно с други специфични браншови ангажименти за уведомяване при нарушаване на данните. Поради тази причина е много важно да се предприемат подходящи технически и организационни мерки за откриване, обработване и докладване на нарушения.

В заключение се налага извода, че изложените в непълен дори обем правила на регламента налагат дълбоки промени в производствения процес, свързан със синтезирането, управлението и интеграцията на архитектурите от ИКТ и жизнения цикъл на софтуерните приложения, в контекста на процесите по събиране, обработване и използване на личните данни. Същевременно всички съществуващи системи трябва да преминат в ново състояние и всеки нов проект трябва да бъде съобразен така, че да се защитават данните на гражданите. Когато се обработват лични данни, следва да се определи точната цел, да се посочи съответното правно основание и да се спазват приложимите изисквания за сигурност на личните данни, както и да се зачитат принципите на необходимост, пропорционалност, ограничаване в рамките на целта и пропорционален срок за запазване на данните. Принципите за защита на личните данните следва да са заложени във всички системи за обработка на данни, които се разработват и използват при платежните услуги по Директива (ЕС) 2015/2366, още при проектирането им и по подразбиране. Държавите членки приемат и публикуват мерките, необходими, за да се съобразят с тази директива, до 13 януари 2018 г.



КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов