მთავარი
კატეგორია
TV ლაივი მენიუ
Loading data...

მონაცემთა დაცვის ზოგადი ევროპული რეგულაციის (GDPR ) გვალენა საბანკო სექტორზე

5b2d180056e15
ბექა ქენქაძე
22.06.18 20:30
2503
მიმდინარე წლის 25 მაისიდან ძალაში შევიდა მონაცემთა დაცვის ზოგადი ევროპული რეგულაცია ე.წ (GDPR) რომელიც სრულიად ახალ სტანდარტებს აწესებს პერსონალურ მონაცემთა დაცვის სფეროში. GDPR-ის მთავარი მიზანი არის რომ დღევანდელი ციფრული სამყაროს ფონზე, ერთიან საკანონმდებლო დოკუმენტში მოათავსოს წესები რომლითაც, დაიცვას ევროკავშირის წევრი ქვეყნების მოქალაქეთა პერსონალური მონაცემებს.

გარდა დიდი ტექნოლოგიური კომპანიებისა, როგორიც არის (google, facebook) საბანკო სფერო არის ის ინდუსტრია რომელზეც პირიდაპირ გავლენას ახდენს GDPR-ი იმ გარემოების გათვალსიწინებით რომ ბანკები ამუშავებენ დიდი რაოდენობით პერსონალურ მონაცემებს.

ყურადსაღებია ის ფაქტი რომ რომ GDPR-მა საგრძნობლად გაზარდა ჯარიმების რაოდენობა, კერძოდ, სანქცია შეიძლება იყოს 20 მილიონამდე ან კომპანიის წლიური შემოსავლის 4 პროცენტის ოდენობით. თუმცა, გარდა მნიშვნელოვანი ფინანსური ზარალისა, რეგულაციის დარღვევის შემთხვევაში ბანკებს შეიძლება დაემუქროთ რეპუტაციის დაკარგვის რეალური საფრთხე. განსაკუთრებით კი იმ ბანკებს რომლებიც ძლიერ არიან დამოკდიებულნი საკუთარი მომხმარებლების ნდობაზე, სჭირდებათ რომ დაიცვან მათი რეპუტაცია და გამოიყენენ ეს უკანსკენელი როგორც აქტივი იმისათვის რომ მომზადაბულები შეხვდნენ fintech კომპანიებისგან წამოსულ მზარდ კონკურენციას.

განსხვავებით წინა დირექტივისგან, ძალზედ გაზრდილია GDPR-ის ტერიოტრიული მოქმედების სფერო. იგი მოიცავს კომპანიებს რომლებიც დაფუძნებულია ევროკავშირში და აგერთვე მის ფარგლებს გარეთ. ცენტრალური საკითხი არის კომპანია აწვდის თუ არა მომსახურებას ან საქონელს ევროკავშირის ბაზარზე. თუ ორგანიზაცია რომელიც ევროკავშირის ფარგლებს გარეთ არის დაფუძნებული აწვდის მომსახურებას ან საქონელს ევროკავშირის ბაზარს ასეთ შემთხვევაში მათ ექნებათ ვალდებულება შესაბამისობაში მოიყვანონ მათი სამქიანობა GDPR-ის დადგენლი წესებთან. აქედან გამომდინარე, ამ საკითხის გაანალიზება საინტერესო იქნება ქართული საბანკო სექტორისთვის, რომლებიც ბუნებრივია ამუშავებენ ევროკავშირის წევრი ქვყენების მოაქლაქეთა პეროსნალურ მონაცემებს და ვალდებულება აქვთ რომ გაითვალსიწინონ ახალი რეგულაციის მოთხოვნები.

GDPR -ით გათვალსიწინებული მთავარი ცვლილებები.

როგორც GDPR-ის გავლენის წინასაწრი შეფასების ანალიზი (impact assessment) მიუთითებს, რეგულაციას ექნება მნიშვნელოვანი გავლენა ბანკების სამ ძირითად კომპონენტზე. ეს არის ორგანიზაციული, დამუშავების პროცესის და სისტემური. შესაბამისად ბანკებს მართებთ გარკვეული ცვლილებების შეტანა აღნიშნულ კომპონენტებში, რათა მოახდინონ მათი საქმიანონის შესაბამისობაში მოყვანა GDPR-თან.

I. ორგანიზაციული:

1. ბანკებმა უნდა უზრუნველყონ რომ ჩამოყალიბდეს ე.წ privacy office და კონფიდნეციალურობის ცვლილებების დღისწესრიგი. ასევე უნდა შეიქმნას რეპორტინგის სისტემა უმაღლეს მენეჯმენტთან პერონსალურ მონაცემთა დაცვის საკითხებთან დაკავშირებით.

2. უნდა განხორციელდეს და განვითარდეს target operating model ( TOM) მონაცემთა დაცვის მართვის საკითხების შესახებ. რაც მოიცავს გარკვეული პოლტიკის და ჩარჩო სამოქმედო გეგმის შექმნას ფუნქციების და პასუხიმგბელობის გათვალსიწნებით.

3. სრულიად ბანკის მასშტაბის გათვალსიწნებით უნდა განისაზღვროს კონფიდენციალურობის ორგანიზებული სისტემა, აღმასრულებელი კომიტეტების და ინტეგრირებული ახალი ფუნქციების გათვალსიწინებით.

II დამუშავების პროცესი

1. მონაცემთა დამუშავების პროცესის დროს გათვალსიწინებულ უნდა იქნას მომხარებელთა თანხობის მიღების ახალი სისტემის შექმნა, მონაცემთა შენახვის და გავრცელების პოლიტიკა, ასევე GDPR-ით გათალისწინებული ისეთი ახალი უფლებების მხედველობაში მიღება, როგორიც არის, არასწორი პერსონალური მონაცემების გასწორება, მონაცემთა წაშლის და პორიტრების უფლება.

2. უნდა შეიქმნას კონფიდნეციალურობის გავლენის შეფასების დოკუმენტი privacy impact assessments (PIA) ასევე აქტიური ტრეინინგი იმ თანამშომრლების რომელიბც უშუალოდ მოანწილეობენ მონაცემთა დამუშავების პროცესში.

III სისტემური
1. ბანკებმა უნდა გადახედონ და მოახდინონ ადაპტირება იმ მოქმედი IT architecture -ის რომელიც ეხება მონაცემთა შენახვას, გადაცემას და ზოგადად დამუშავებას, იმისათვის რომ მოხდეს მისი შესაბამისობაშ მოყვანა GDPR-ის მოთხოვნებთან.
2. უნდა გაფართოვდეს data management (MDM systems) და ჩამოყალიბდეს data lineage იმისათვის რომ შეესაბამეოდეს მოანცემათა დაცვის გაზრდილ მოთხოვნებს.
3. კარგი იქნება თუ ბანკები იფიქრებენ შექმნან ერთგვარი ჰარმონიზებული ბიზნეს ტერმინთა ლექსიკონი რომელიც მოიცავს ყველა სახის პეროსნალურ მონაცემებს რასთანაც ბანკს აქვს შეხება და რომელსაც ამუშავებს.

გარდა აღნიშნული სამი კომპონენტისა, განსაკუთრებული ყურადღება უნდა მიექცეს ვენდორ მენეჯმენტს. მონაცემები არის ქვაკუთხედი ყველა ფინანსური ინსტიტუტისთვის, და რადგანაც GDPR იცავს მომხმარებელთა პეროსნალურ მონაცემებს, ბანკები ვალდებულნი არიან გაანალიზონ მონაცემთა მოძრაობა (data flow) საკუთარ სხვადასხვა სისტემებში თუ აპლიაკციებში. როგორც წესი, ყველა ბანკი იყენებს აუთსორსინგს რაც ნიშნავს რომ მათ მომხარებელთა პერონსლაურ მონაცემებზე წვდომა აქვთ სხვადახვა ვენდორებს. GDPR -ის თანახმად კი ვენდორებს არ აქვთ უფლება დისტანცირება მოახდინონ იმ ვალდებულებისგან რაც უკავშირდება მონაცემებზე წვდომას. ამასთანავე ბანკებს და სხვა კომპანიებს რომელბიც კოლაბორაციაში არიან ევროკავშირის წევრ ქვეყნების ბანკებთან და შესაბამისად გარკვეულ მომსახურებას უწევენ ევროკავშირის მოქალაქეებს უნდა უზრუნველყონ პერსონალურ მონაცემთა დაცულობა, როდესაც ხდება მონაცემთა გაცვლა საზღვრებს გარეთ. ფაქტობრივად, GDPR-ი ითხოვს სრულყოფილ ანაგრიშვალდებულებას იმისათვის რომ დაცული იყოს მომხმარებელთა პერსონალური მონაცემები, აღნიშნულის მისაღწევად კი იგი ავალდებულებს არამარტო ბანკებს არამედ ვენდორებსაც რომ უზურნველყონ მონაცემთა დაცულობა.

ამ საკითხზე მსჯელობისას, GDPR-ის რამოდნიმე კონკრეტულ მუხლს სჭირდება გამოყოფა.

მე-7 მუხლის თანახმად, თუ კომპანიებს სურთ რომ დაამუშავონ პერსონალური მონაცემები, ისინი ვალდებულნი არიან მიიღონ და დოკუმენტირებულად დაამტკიცონ რომ მიღებული თანხმობა იყო ნათლად გამოხატული. ეს სიახლე მნიშვნელოვნად გაზრდის ბანკებისთვის დოკუმენტაციის რაოდნეობას და გამორიცხავს შესაძლებლობას რომ გამოიყენონ ე.წ მოსანიშნი უჯრები pre-ticked boxes, ან ისეთი სახის ჩანაწერები როგორიც არის „ამ სერვისის გამოყენებით თქვენ ეთანხმებით თქვენი პერსონალური მონაცემების დამუშავებას.“

17-ე მუხლი ავალდებლებს მონაცემთა დამმუშავებელს ( ჩვენს შემთხვევაში კი ბანკებს) რომ წაშალონ ის მონაცემები რომლებიც აღარ არის საჭირო იმ მიზნის მისაღწევად რისთვისაც ისინი იქნა შეგროვებული, ან თუ გაუქმებულია თანხმობა პერსონალური მონაცემების დამუშავების შესახებ. შესაბამისად ბანკებმა ყველა კონკრეტულ შემთხვევაში უნდა გაანალიზონ აქვთ თუ არა სამართლებირვი ვალდებულება ან სხვა ლეგიტიმური მიზანი რომ შეინახონ ან წაშალონ მონაცემები. მაგალითისთვის კანონის თანახმად, მონაცემები უნდა იქნას შენახული თუ ის აუცილებელია გადასახდების გადახდისთვის. ასევე ბანკებმა უნდა განსაზღვრონ მესამე პირთათვის გადაცემული მონაცემების საკთხიც.

35-ე მუხლის თანახმად ბანკები არიან ვალდებულნი რომ ახალი პროდუქტის შექმნის და შეთავაზების დროს ჩამოაყალიბონ ე.წ privacy impact assessment (PIA). PIA ხელს შეუწყობს პერსონალური მონაცემების დაცულობის რისკების გამოვლენას ახალი პროდუქტის შექმნის დროს. აქედან გამომდინარე, ბანკებმა უნდა მოიძიონ ისეთი კვალიფიციური კადრები, რომლებიც პასუხიმგებელნი იქნებიან რომ დანერგონ PIA პროექტის ან ახალი პროდუქტის შექმნის ადრეულ ეტაპზევე.

37-ე მუხლის თანახმად, ვინაიდან ბანკები დიდი რაოდენობით ამუშავებენ პერსონალურ მოანცემებს, ვალდებულნი არიან დანიშნონ პერსონალურ მონაცემთა დაცვის ოფიცერი data protection officer (DPO), რომელიც პასუხისმგებელი იქნება ბანკის საქმიანობის GDPR-თან შესაბამისობაში მოყვანასთან. DPO უნდა იყოს კვალიფიციური, რომელიც კარგად იცნობს GDPR-ის მოთხოვნებს. ასევე ერთ ერთი საყურადღებო რეკომენდაცია არის რომ იგი იყოს დამოუკიდბელი და პირდაპირ პასუხიმგებელი Top management-თან. ეს იქნება ძალიან მკაფიო ინიდიკატორი მისი მაღალი ორგანიზაციული როლისთვის და ასევე ზოგადად ბანკის რეპუტაციისთის თუ რამხელა მნიშვნელობას ანიჭებს ბანკი პეროსნალური მონაცემების დაცვას.

იმისათვის რომ მოხდეს ბანკის პოლიტიკის შესაბამისობაში მოყვანა GDPR-თან, სამი მარტივი ნაბიჯის გადაგდმა იქნება აუცილებელი. პირველი არის ე.წ quick check-ის ჩატარება რომ შეფასდეს და გაანალზიდეს არსებული კონფიდენციალურობის დაცვის ხარისხი ბანკში და დაიწყოს მომზადება data managmenet-ის შესაძლებლობების გასაძლიერებლად. მაგალითად სრულფასოვნად უნდა შეფასდეს არსებული მონაცემთა რეპორტინგის სისტემა, გამომდინარე იქიდან რომ, სხვადასხვა ინიციატივები როგორიც არის მაგალითად BCBS 239 ან SREP, უკანსკანელ წლებში ხშირად ავალდებულებდნენ ბაკებს გარკვეულ ცვლილებების განხორციელებას, ეს ინიციატივები კი გარკვეულწილად შემხებლობაშია GDPR-ის მოთხოვნებთანაც, განსაკუთრებით კი data managmenet-თან დაკავშირებით, სწორედ ამიტომ არის აუცილებელი დეტალური ანალიზი და შეფასება არსებული სისტემის.

მეორე ნაბიჯი მოიცავს კონცეპტუალურ ცვლილებებს. კერძოდ, უნდა ჩამოყალიბდეს მონაცემთა დაცვის პოლიტიკა, განისაზღვროს target operating model (TOM); გაღრმავდეს კომუნიკაცია, განივთარდეს ტრეინინგები და სხვა ცნობადობის ასამაღლებელი ინიციატივები. შექიმნას სრულყოფილი ბიზნეს ტერმინთა ლექსიკონი იმ პეროსნალურ მონაცემებთან დაკავშირებით რომლებსაც ამუშავებს ბანკი. ჩამოყალიბდეს ეფექტური რეპორტინგის სისტემა როგორც შიდა ტოპ მენეჯმენტთან ასევე საზედამხედველო ორგანოსთან.

მესამე ეტაპი კი მოიცავს ამ სამოქედო გეგმის პრაქტიკაში დანერგვის და განხორიცლეების შეფასებას და ანალიზს.

GDPR-ის მოთხოვნების გათვალისწინება არის არა რეკომენდაცია არამედ სამართლებრივი ვალდებულება, რასაც სჭირდება მაღალი ხარისხის პასუხიმგებლობის გრძნობა და რესურების სწორად გადანაწილება ბანკებისგან. ახალი მოთხოვნები ბანკებს აძლევს შესაძლებლობას, რომ არა მარტო უკეთ გაერკვნენ თუ როგორი მონაცემთა დაცვის ხარისხი აქვთ არამედ, მიიღონ გარკვეული სარგებელიც. სავალდებულოა ისეთ კითხვებზე პასუხი გაცემა, როგორიც არის, „სად არის მოანცემები შენახული“ ან „ბანკის რომელი დეპარტამენტი ან სხვა ორგანიზაული სტრუქტურა არის პასუხიმგებელი მონაცემთა კონტოროლზე“ .

ბანკებმა ერთდროულად უნდა იფიქრონ თუ რა პერონსალურ მონაცემებს ფლობენ ისინი და რა საუკეთესო გზა არსებობს იმისთვის რომ მონაცემები იქნას სწორად გამოყენებული. თანამედროვე მონაცემთა შენახვის სისტემები აღჭურვილია ისეთი ანალიტიკური შესაძლბელობეით რომლეიც უზურნველყოფს კონკრეტულ მიზანზე ორიენტირებულ cross-selling და up-selling შეთავაზებებს.

უფრო მეტიც, სწორი data management-ი აძლიერებს მომხარებელზე ორიენტირებულ ე.წ. customer journey-ის, ხდის მას უფრო მეტად დამარწმუნებელს და დიფერენიცრებულს, მაგალთად დამუშავების პროცესის სისწრაფით და სიადვილით. ეს მოიცავს, მაგალითადმ სესხის აპლიკაციის ან ანგარიშის გახსნას და ზოგადად, უფრო მეტ ინფორმაციას მომხარებლისთვის თუ როგორ მართოს ანაგარიში და შესაბამისად სხვადასხვა ოპერაციები.

ზოგადად, მაღალი დონის უსაფრთხოების სისტემა, ასევე ეფექტურად და სწორად ჩამოყალიბებული კონფიდენციალურობის პოლიტიკა, შეიძლება გახედეს ბანკისთის უმთავრესი მომენტი მისი წარმატებისკენ მიმავალ გზაზე. საზოგადოება დღითიდღე უფრო მეტად მგრძნობიარე ხდება საკუთარი პერსონალური მონაცემების მიმართ და მზადაც კი არის რომ გადაიხადოს დამატებითი თანხები უფრო მეტი კონფიდენციალურობისთვის.

აქედან გამომდინარე, ბანკებმა GDPR-ში არა მხოლოდ გამაკაცრებებული სანქციები და დამატებითი ვალდებულებები უნდა დაინახონ, არამედ ძალიან დიდი შესაძლებლობა იმისა რომ მომხმარებლებს შესთავაზონ ეფექტური კარგად ჩამოყალიბებული მონაცემთა დაცვის სისტემა, რაც პირდაპირპროპროციულად აისახება მათ კონკურნეტუნარიონაბაზე.

ბექა ქენქაძე

პერსონალურ მონაცემთა დაცვის სამართლის სპეციალისტი

ტალინის უნივერსიტეტის
საერთაშორისო ბიზნეს სამართლის მაგსიტრი