В рамках Ukrainian Fintech Week, що проходить цього тижня та організований УАФІК, відбувся круглий стіл, присвячений GDPR — нормативно-правовому акту Європейського Союзу щодо захисту персональних даних усіх осіб у межах ЄС. Експерти обговорили головні виклики, з якими стикаються українські фінтех-компанії у впровадженні регламенту, а також вплив GDPR на бізнес-процеси та конкурентоспроможність на європейському ринку.
Ключові виклики для українських фінтех-компаній України, пов’язані з впровадженням GDPR
Як зазначила Лілія Олексюк, PhD з державного управління, перший і найголовніший виклик – почати щось робити вже зараз у сфері захисту даних, враховуючи, що для багатьох компаній це нова тема, а чітко визначених термінів впровадження регламенту в Україні немає. Окрім того, спеціалістів, особливо сертифікованих у ЄС, які готові розбудовувати систему захисту персональних даних в організаціях – наразі дуже мало. Також компаніям важливо передбачити на це додаткові витрати.
Окремо експертка підкреслила, що фінтех-компаніям треба звикнути до думки, що на них розповсюджуються норми GDPR. Особливо це стосується організацій, які вже працюють або планують вихід на іноземні ринки, включаючи європейський.
Едуард Карауш, керівник з питань GDPR та захисту персональних даних в Райффайзен Банку, каже, що українським банкам і фінтех-компаніям не так складно буде імплементувати норми захисту персональних даних (GDPR та інші регуляції), ніж іншому бізнесу, через певну зарегульованість фінансової галузі, наявність великої кількості аудитів тощо.
З точки зору банків, на думку Едуарда, основним викликом стане те, що фінансові установи змушені будуть безапеляційно виконувати регуляції, на відміну від організацій, які не повністю працюють “в білу”. Тож це питання, радше, в справедливій конкуренції. При цьому експерт підкреслив, що винятків в дотриманні норм захисту персональних даних не може бути.
Олександр Шевчук, кандидат юридичних наук, національний консультант проєктів Європейського Союзу та Ради Європи з питань захисту персональних даних, зазначив, що готуватися до GDPR фінтех-компаніям потрібно вже зараз. Особливо йдеться про компанії, які взаємодіють з європейським контентом, споживачами, товарами.
Ключовим викликом, на думку Олександра, є людський ресурс. Адже GDPR – це ціла екосистема захисту персональних даних. Держава, зі свого боку, має створити регулятора і прийняти норми законодавства. Бізнес, у свою чергу, повинен інвестувати в навчання як нових спеціалістів, так і своїх споживачів.
Відповідність нормам GDPR та вплив на бізнес-процеси
Лілія Олексюк зазначила, що будь-який бізнес, зокрема і в галузі фінансів, виграє, якщо адаптується до регламенту GDPR. Але ще більше він виграє, якщо зможе побудувати ефективну систему управління інформаційною безпекою і захист персональних даних. Адже споживачі довіряють тій компанії, яка є прозорою для них.
Едуард Карауш підкреслив, що відповідність нормам GDPR допоможе налагодити деякі бізнес-процеси з контрагентами в ЄС. На думку експерта, бізнес виграє від впровадження GDPR, але не в короткостроковій перспективі – це відбуватиметься поступово.
Погодився з цією думкою і Олександр Шевчук. Він зазначив, що виграє і держава, і громадяни, і бізнес – але не відразу. Спочатку потрібно вкласти значні ресурси (в першу чергу, компаніям необхідно найняти DPO, а можливо і цілий підрозділ управління персональними даними) і налаштувати всі процеси. “Відповідність GDPR – це про репутацію. Але для цього треба виконати суттєву роботу. В іншому випадку, при вступі в силу регуляцій, це великі штрафи і втрачені можливості”, – каже Олександр.
Модератор дискусії Ростислав Дюк, голова правління УАФІК, також додав, що відповідність нормам GDPR відкриває доступ до інвестицій, адже жоден інвестор не захоче вкладати в бізнес, який не відповідає вимогам захисту персональних даних.
Найпоширеніші помилки при управлінні персональними даними
Лілія Олексюк назвала такі поширені помилки компаній:
- дані, зібрані фінтехами, не можна використовувати для інших цілей – це може призвести до втрати довіри споживача;
- не прописувати дрібним шрифтом у договорах “пастки” – згоди на використання даних споживача у будь-яких цілях;
- компанії часто збирають зайву інформацію і не збирають те, що дійсно потрібно;
- відсутність карти даних, цілей зібраних даних, змішування даних різних користувацьких груп тощо;
- відсутність регламенту щодо обміну даними з третіми сторонами, особливо в контексті того, що фінтех-компанії користуються послугами постачальників хмарних послуг.
Олександр Шевчук акцентував на тому, що GDPR – це не каральний інструмент, це інструмент, який дозволяє бізнесу розвиватися та інвестувати в приватність. Це єдині правила гри, розроблені і для захисту бізнесу, і для захисту прав клієнтів – це основне, про що повинні пам’ятати компанії.
Він також зазначив, що поширеною помилкою є неправильна комунікація – як з регулятором, так і з клієнтом. Це стосується надання вчасного доступу до даних та оперативного реагування на порушення цілісності даних внаслідок зламу.
Баланс між GDPR і трендом персоналізації
В контексті тренду персоналізації, що набирає обертів у світі та є актуальним зокрема для фінтех-компаній, важливим є питання балансу між відповідністю GDPR та розширенням персональних пропозицій для клієнтів. За словами Лілії Олексюк, якщо компанія планує розширювати пул сервісів, то їй все-таки доведеться запитати у клієнта, чи він цього хоче, і якими даними він готовий для цього поділитися.
“Компаніям варто прорахувати ризики, вартість обробки, зберігання та захисту даних, і вигоду від отримання більшої кількості даних від клієнта – тоді буде зрозуміло, чи воно того варте”, – каже експертка.
Едуард Карауш, у свою чергу, підкреслив, що, в першу чергу, бізнесу необхідно дозволити споживачам відкликати свою згоду на використання даних. А друге, але не менш важливе – приділяти увагу навчанню співробітників.
