С 25 мая 2018 года вступили в силу новые правила обработки и защиты персональных данных — регламент ЕС 2016/679 от 27 апреля 2016 года, или GDPR — General Data Protection Regulation. Эта директива является законом прямого действия и автоматически вводится через национальное законодательство во всех странах — членах Европейского союза. Однако данная правовая норма экстерриториальна и затрагивает не только компании, находящиеся на территории ЕС, но и все остальные, которые собирают и обрабатывают данные резидентов и граждан ЕС. Российским компаниям следует внимательно отнестись к новым правилам, если их услуги ориентированы на европейский рынок. Даже если российская компания напрямую не предоставляет услуги, а является лишь обработчиком данных (например, предоставляет аналитические услуги по проведению сегментации маркетинговых кампаний, нацеленных на резидентов ЕС), то компания — заказчик услуг может потребовать от обработчика данных подтверждения соответствия GDPR для продолжения сотрудничества.

Конечно, очень спорным вопросом является прямое правоприменение данной нормы для российских компаний, которые руководствуются российским законодательством по охране персональных данных. Европейский клиент российского банка может требовать исполнения своих прав в соответствии с GDPR, но если банк не нарушает национальное законодательство, то реальных санкций для него, наверное, ожидать не стоит.

GDPR вводит ряд требований по обеспечению прав физических лиц: права на доступ, права на информацию, права на исправление, права на удаление (права быть забытым), права на переносимость данных, права возражать и права не быть предметом принятия решения, основанного на автоматической обработке данных.

Если говорить простым языком, без использования сугубо юридической терминологии, банкам требуется иметь полный контроль над данными физических лиц, которые они обрабатывают. Ведь одним из постулатов GDPR является требование обрабатывать данные физических лиц лишь на основании определенных целей и в течение определенного времени. Компании обязаны избавляться от персональных данных физических лиц, как только истекает срок того, для чего эти данные собирались. Важно понимать, что GDPR распространяется на данные всех физических лиц, которые компания обрабатывает, то есть не только клиентов банка, но и его сотрудников, учредителей, физических лиц — подрядчиков и субподрядчиков.

Опишем, что должен сделать банк для того, чтобы соответствовать новым правилам обработки данных.

Во-первых, надо определить категории физических лиц, данные которых в банке обрабатываются, а также описать цели, на основании которых персональные данные собираются и обрабатываются. Это важно сделать с самого начала для правильного и постепенного изменения внутренних процессов и определения влияния на информационные системы. Конечно, основными категориями являются действующие и потенциальные клиенты банка, которые попадают в базы данных из разных источников — внутренних (например, лиды с сайта или приложения) и внешних (сторонние базы данных). Важно также понимать, что основания для обработки данных действующих клиентов в принципе не требуют согласия на использование, а исходят из соглашения о предоставлении услуг, тогда как потенциальные клиенты почти всегда должны дать отдельное согласие на обработку данных (при этом согласие должно иметь определенные параметры — opt-in вместо opt-out, обязательную дату окончания и т.д.). Важно не забыть о менее многочисленной группе физических лиц, которые также должны быть защищены, это работники и представители подрядчиков. Часто данные этих категорий обрабатываются в абсолютно других IT-системах, и требования по срокам их хранения разительно отличаются от сроков хранения данных клиентов банка.

Внедрение изменений, связанных с требованием соответствия нормам GDPR, многие участники рынка рассматривают как навязывание и стараются сократить до минимума расходы, связанные с внедрением

Для каждой категории лиц требуется определить цель сбора данных и основание для обработки. Тут на помощь приходит простое правило: если с физическим лицом заключен договор либо есть предоставленное согласие, которое соответствует описываемым целям, то дополнительных оснований компании не требуется. Если договора или согласия нет, то следует подумать, можно ли такие данные использовать без ущемления прав физических лиц. GDPR описывает такое основание, как законный интерес компании на использование данных, однако под это основание очень тяжело подвести использование номера телефона человека, который не имеет ничего общего с банком, для проведения маркетинговой кампании. Из нашей практики мы видим, что юристы в банковской среде стараются исключить это основание и настоятельно рекомендуют руководству банков использовать согласие физических лиц.

Во-вторых, надо определить, что относится к персональным данным физических лиц. В этом вопросе надо сохранять так называемый common sense, чтобы была возможность внедрить правила в информационные системы. Дело в том, что GDPR говорит о персональных данных достаточно размыто и в тексте используются понятия «персонально идентифицирующие данные», то есть данные, которые сами по себе не являются персональными, но могут при определенных обстоятельствах указать на конкретное физическое лицо. Например, в банковской сфере серьезную дискуссию вызвало определение персональными данными кодов переводов (reference number), применяемых клиентами при платежах. Дело в том, что часто в этих кодах используются полностью или частично уникальные идентификационные номера граждан Евросоюза. Также следует смотреть на комбинации неперсональных данных, которые могут определять человека очень точно: например, комбинация города проживания с малым количеством населения и редкой марки автомобиля. Таким образом, информация о том, что клиент из чешского города Лоуны с населением в 20 тыс. человек владеет «Феррари», относится к персональной: ведь такой человек там всего один. Из нашей практики мы вывели следующие заключения:

• прямыми персональными данными являются все данные, обозначающие клиента либо способ коммуникации с ним (имена, контакты, адреса всех видов), внутренние идентификаторы (номера документов, идентификационные номера, налоговые и государственные идентификаторы), системные идентификаторы (внутренние ID в информационных системах), cookies и gps-метки;

• непрямыми персональными данными являются все остальные данные, которые можно связать с прямыми данными, — например, зарплатная ведомость работника часто работает с внутренними кодами работника, и, имея ведомость и доступ к бухгалтерской системе, без труда можно узнать, кого касается данная ведомость.

После определения того, что относится к персональным данным, требуется проделать очень тяжелую и неприятную процедуру их мапирования (data mapping) в информационных системах для того, чтобы понимать, где и в каких структурах находятся какие персональные данные. Мапирование должно быть всеобъемлющим и включать в себя все информационные системы и базы данных, которые банк использует для работы. Многие компании не проводят мапирование, а лишь проверяют свои модели данных, однако такое решение подходит только тем, у кого данные идеально описаны и нет серых зон, где могут находиться персональные данные (часто этим грешат банковские аналитики, создающие неописанные витрины данных для своих анализов и моделей, о которых знает ограниченное количество людей). В случае аудита такие скрытые части систем могут повлечь за собой санкции со стороны проверяющей структуры (органа по защите персональных данных).

Результатом первых двух шагов является четкая карта персональных данных (personal data map), для которых остается определить время их использования и способ утилизации — определить бизнес-правила хранения данных. Это является необходимым третьим шагом для подготовки к внедрению GPDR.

Для определения времени использования данных требуются совместные усилия юристов, которые знают требования законодательства по минимальному сроку хранения данных, и представителей бизнеса, которые способны описать взаимосвязи в бизнес-процессах. Требуется определить, в каких процессах персональные данные используются и какой минимальный срок требуется для их хранения, чтобы не потерять данные, которые необходимы в каком-то другом процессе. Далее юристы накладывают сроки, которые требует бизнес, на сроки, которые исходят из нормативных актов, и устанавливают так называемый период сохраняемости данных (retention period). Практика показывает, что большинство банков имеют тенденцию сохранять все и надолго и очень агрессивно относятся к идее, что надо какие-то данные удалить либо анонимизировать.

Также на этом шаге требуется определить способ обработки данных после истечения срока хранения: удаление либо анонимизация. При удалении данных с легкостью достигается способность доказать регулятору, что данные не обрабатываются, в отличие от анонимизации, где надо еще доказать, что персональные данные были изменены таким невозвратным способом, что невозможно их сопоставить с каким-то физическим лицом.

К GDPR можно относиться не как к очередной административной проблеме, а как к возможности улучшить и усилить контроль над имеющимися данными

Отдельное место в этой проблематике занимает отчетность. Способы составления и подготовки отчетов очень чувствительны к удалению данных — представьте отчет по количеству клиентов по годам, если банк принял решение о постоянном удалении данных неактивных клиентов после пяти лет по окончании действия договора. Поэтому решение об анонимизации либо удалении должны также принимать люди, связанные с BI и банковской отчетностью.

Решение об удалении или анонимизации данных сильно разнится в разных компаниях, хотя можно сказать, что способ удаления данных выбирает большее количество участников рынка. Это связано, скорее всего, с тем, что техническая реализация удаления данных более эффективна с точки зрения расходов.

Еще одним аспектом при установлении бизнес-правил является то, что правила надо настроить в отношении не только структурированных данных, но и неструктурированных — таких, как электронные документы, отсканированные документы, логи и, конечно, обыкновенные бумажные документы, которые, как ни парадоксально, часто очень хорошо упорядочены, соответствуют законным нормам по хранению и не требуют такого внимания, как электронные. В каком-то смысле цифровой мир отстал от бумажного в плане упорядоченности и соответствия нормам.

Как только все три шага будут исполнены, компания может приступить к внедрению всех необходимых бизнес-правил во все свои информационные системы и таким образом начать постепенно уменьшать объем своих персональных данных. Можно сказать, что многие банки в Европе в данный момент находятся в стадии внедрения, так как эта фаза может занимать от 6 до 18 месяцев в зависимости от сложности и комплексности решения.

Одним из решений при внедрении является централизация данных и применение принципов управления мастер-данными — MDM (master data management), когда создается единая база всех клиентских и неклиентских записей с описанием того, какие данные о физическом лице и в каких системах имеются в банке. Это часто используют те банки, которые имеют децентрализированные системы и таким образом не только решают проблему GDPR, но и используют эту систему для лучшего CRM и отчетности.

Внедрение изменений, связанных с требованием соответствия нормам GDPR, многие участники рынка рассматривают как навязывание и стараются сократить до минимума расходы, связанные с внедрением, проводя в первую очередь формальную проверку процессов и систем и разрабатывая ряд формальных документов, относящихся к политикам управления персональными данными. Внедрение реальных изменений, связанных с перенастройкой информационных систем, часто растягивается на длительное время. Однако к GDPR можно относиться не как к очередной административной проблеме, мешающей развитию бизнеса, а как к возможности улучшить и усилить контроль над имеющимися данными, очистить их и исправить, изменить подходы к отчетности и структуре хранения данных для анализа и внедрить систему мастер-записей (golden records). Таким образом, GDPR может принести пользу не только в виде формального соответствия новым требованиям закона, но и в форме улучшения операционной эффективности банка.