Євгеній Кандирал, privacy юрист в Legal IT Group
Комплаєнс із GDPR та DORA – конкурентна перевага фінтех-компаній. Розбираємо ключові вимоги європейських регламентів, точки перетину та санкції за порушення.
Успіх фінтех-проєктів напряму залежить від рівня довіри користувачів. А довіра користувачів – від рівня безпеки їхніх даних. Саме тому у цій статті ми розберемо два європейських акти, комплаєнс із якими стане Вашою конкурентною перевагою – GDPR та DORA.
Знайомство із GDPR та DORA: загальний огляд
GDPR (General Data Protection Regulation) – Регламент Європейського Союзу, який регулює питання обробки та захисту персональних даних резидентів ЄС. Діє із 2018 року та має славу еталонного акту із захисту персональних даних. Вимоги GDPR є своєрідними надбудовами над принципами захисту персональних даних, зокрема таких важливих для фінансового сектору як законності обробки, мінімізації даних, точності, обмеження зберігання, цілісності та конфіденційності.
DORA (Digital Operational Resilience Act) – Регламент Європейського Союзу, що встановлює єдині стандарти цифрової стійкості для фінансових компаній. Діє з 17 січня 2025 року. Основна мета регламенту – гарантувати, що фінансовий сектор може протистояти кіберзагрозам та іншим ІКТ-ризикам.
Сфера застосування GDPR та DORA
Дія GDPR поширюється на обробку персональних даних у контексті діяльності установи в ЄС, незалежно від того, чи відбувається обробка в ЄС, чи ні. Також GDPR передбачає регулювання обробки спеціальних категорій персональних даних, або ж “чутливих” даних, до яких належать дані про економічний стан, здоров’я тощо. Тому для фінансового сектору GDPR має особливе значення, оскільки фінансові компанії обробляють величезні обсяги чутливих персональних даних клієнтів.
DORA охоплює понад 20 категорій суб’єктів фінансового ринку, зокрема:
- банки та кредитні установи;
- страхові компанії;
- інвестиційні фірми та біржі;
- постачальники платіжних послуг і електронних грошей;
- постачальники криптовалютних послуг та оператори торговельних платформ;
- центральні депозитарії та клірингові палати;
- аудитори, рейтингові агентства та постачальники критично важливих фінансових даних.
Таким чином, вимоги DORA є обов’язковими для фінтех-компаній, що діють на території ЄС.
Взаємодія GDPR та DORA
Існують важливі точки перетину між двома актами. Обидва регламенти переслідують мету забезпечення безпеки даних та захисту даних, хоча й з різних перспектив.
Дотримуючись політик та процедур ІКТ згідно з DORA, фінансові установи повинні забезпечити їх повну відповідність принципам та вимогам GDPR. Це узгодження поширюється зокрема на мінімізацію даних, безпеку даних, privacy by design and by default тощо. Наприклад, якщо фінансові установи зобов’язані провести оцінку впливу на захист даних (DPIA) відповідно до GDPR, то найчастіше рівні безпеки ІКТ-систем також потребуватимуть повторної оцінки. Політики управління інцидентами повинні інтегрувати зобов’язання щодо повідомлення, передбачені як DORA, так і GDPR.
DORA вимагає, щоб фінансові установи ефективно здійснювали нагляд за своїми постачальниками ІКТ-послуг, особливо у випадку аутсорсингу критичних ІКТ-функцій або послуг. Водночас фінансові установи повинні переглянути свої угоди про обробку даних (Data Processing Agreement), щоб переконатися, що вони відповідають не лише вимогам GDPR, але й додатковим вимогам щодо безпеки, стійкості та захисту даних, запроваджених DORA.
Як DORA, так і GDPR наголошують на важливості навчання та проведенні тренінгів для персоналу. Співробітники повинні добре розумітися на управлінні ІКТ-ризиками та зобов’язаннях щодо захисту даних. Програми навчання мають бути комплексними, охоплюючи широкий спектр ІКТ-ризиків, включаючи загрози кібербезпеці, які можуть потенційно призвести до порушень захисту даних. Забезпечуючи подвійний фокус, фінансові компанії можуть бути впевненими, що їх персонал залишається пильним та добре підготовленим для вирішення складних завдань цифрового фінансового сектору.
Санкції за порушення GDPR та DORA
Регулятори особливо пильні до фінансових компаній, а тому санкції корелюються з тією відповідальністю, яка лежить на сервісах. Загалом, GDPR визначає два види санкцій в залежності від порушених вимог:
- до 10 000 000 € або 2 % від річного світового обороту компанії — за менш тяжкі порушення;
- до 20 000 000 € або 4 % від річного світового обороту компанії — за більш тяжкі порушення (наприклад, за незаконну обробку спеціальних категорій даних або порушення принципів обробки).
У свою чергу DORA передбачає спектр санкцій, що властивий для фінансового сектору:
- штрафи до 1 % середньодобового світового обороту для ІКТ-постачальників за попередній фінансовий рік;
- обмеження надання послуг;
- відкликання ліцензій фінансових установ.
Отже, недотримання вимог DORA загрожує бізнесу не лише фінансовими санкціями, а й втратою можливості провадити діяльність на ринку.
Що зробити, щоб зараз доповнити свій GDPR-комплаєнс вимогами DORA?
- Проведіть аудит ІКТ-систем та оцініть їхню стійкість до кіберзагроз – таким чином Ви не лише зможете описати поточний стан процесів обробки даних, а й визначити зони, які потребують змін задля комплаєнсу.
- Перегляньте імплементовані технічні та організаційні заходи – це потрібно для того, щоб пересвідчитись, що Ви захищаєте персональні дані відповідно до підвищеного рівня безпеки за DORA.
- Оновіть внутрішні політики – після змін в архітектурі обробки персональних даних та впровадження нових заходів безпеки обов’язково зазначити актуальну інформацію в документації про приватність.
Висновок
GDPR та DORA – це регламенти, які разом формують комплексну систему захисту даних та цифрової стійкості у фінансовому секторі. Інтеграція вимог обох актів дозволяє фінтех-компаніям не лише уникнути значних штрафів та санкцій, але й побудувати довіру користувачів через демонстрацію високих стандартів безпеки. Проактивний підхід до комплаєнсу – це інвестиція у репутацію, конкурентоспроможність та надійність Вашого фінтех-проєкту на європейському ринку.
