DUOMENŲ APSAUGA FINANSINIŲ TECHNOLOGIJŲ ĮMONĖSE

FinTech pramonė, atsiradusi stirpėjant sąsajoms tarp finansinių paslaugų ir informacinių technologijų sektorių – tikras technologinis viesulas, finansų rinkoms suteiksiantis milžinišką pažangos šuolį. Inovatyvūs sprendimai leis greičiau, pigiau ir patogiau teikti finansines paslaugas (ypač mokėjimų, elektroninių pinigų ir kreditų srityse) vartotojams, tačiau FinTech įmonės, artėjant Europos Sąjungos Bendrojo duomenų apsaugos reglamento (toliau – Reglamentas) įsigaliojimui 2018 m. gegužę, turėtų pasiruošti Reglamento įgyvendinimui, kadangi šios įmonės, teikdamos paslaugas, rinks, valdys ir tvarkys daug įvairių asmens duomenų.

Pareigą įrodyti, kad gavo vartotojo sutikimą tvarkyti jo duomenis, turės duomenų valdytojai, t. y. FinTech įmonės. Kad tokį sutikimą gautų, įmonės turės pateikti prašymą tvarkyti duomenis atskirai nuo kitų klausimų (pavyzdžiui, atskirai nuo vartojimo sąlygų), paprasta forma bei aiškia ir suprantama kalba.

Reglamente, skatinant įmones prisiimti atsakomybę už tai, kad duomenis jos naudotų taip, kad negalėtų pakenkti asmenims, kurių tie duomenys yra, įtvirtinamas atskaitomybės principas, kurio pamatas turėtų būti kvalifikuotas duomenų apsaugos pareigūnas įmonėje.

Kad tokį sutikimą gautų, įmonės turės pateikti prašymą tvarkyti duomenis atskirai nuo kitų klausimų (pavyzdžiui, atskirai nuo vartojimo sąlygų), paprasta forma bei aiškia ir suprantama kalba.

Duomenų apaugos pareigūnas, vykdydamas savo užduotis, turėtų tinkamai įvertinti su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.

Toks pareigūnas taps tarpininku tarp darbuotojų, asmenų, kurių duomenys renkami (vartotojų, klientų, partnerių ir kt.), ir priežiūros institucijų.

Reglamentas nenustato, kad duomenų apsaugos pareigūnas turi būti kiekvienoje įmonėje, tačiau panašu, kad duomenų apsaugos pareigūno reikės didžiajai daliai FinTech įmonių, kadangi daugumą jų rinks, saugos, naudos ir tvarkys ypatingus asmens duomenis (biometrinius duomenis, identifikuojant asmenis), duomenų tvarkymas  bus neatsiejamai susijęs su pagrindine tokių įmonių veikla, šios įmonės pagal tam tikrą tvarką nuolat arba reguliariai vertins rizikas kreditingumo vertinimo, teroristų finansavimo, pinigų plovimo prevencijos tikslais.

_jbm2177Reglamentas leidžia pasirinkti, ar duomenų apsaugos pareigūno funkcijas atliks darbuotojas ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės.

Tais atvejais, kai dėl duomenų tvarkymo rūšies, pobūdžio, apimties, konteksto ir tikslų galės kilti didelis pavojus asmenų teisėms ir laisvėms, įmonės, prieš pradėdamos tvarkyti duomenis, turės atlikti duomenų tvarkymo operacijų poveikio asmens apsaugai vertinimą. Toks vertinimas turėtų būti dokumentuotas išvada, kurią prireikus būtų galima pateikti priežiūros institucijai. Asmens duomenų priežiūros institucijos šalyse sudarys ir viešai paskelbs operacijų, kurioms bus taikomas šis reikalavimas, sąrašą.

Kontaktinis asmuo:

Loreta Andziulytė