25 мая 2018 года Европейский союз ввёл в действие Общий регламент по защите данных (General Data Protection Regulation, GDPR). Документ кардинально пересмотрел подходы к обработке персональных данных, включая банковскую сферу, и установил новые требования к безопасности и правам граждан.
Ключевые аспекты влияния GDPR на банки
Экстерриториальность. Регламент распространяется на любые компании, обрабатывающие данные граждан ЕС, независимо от их местонахождения. Это касается банков, выпускающих карты для использования в Евросоюзе, а также тех, кто обслуживает резидентов ЕС.
Принципы обработки данных. Банки обязаны обеспечивать законность, прозрачность, целевое использование данных, их точность и безопасность. Хранить информацию, позволяющую идентифицировать субъекта, можно не дольше, чем это необходимо.
Согласие. Оно должно быть чётким, конкретным, информированным и недвусмысленным. Получить его стало сложнее, отозвать — можно в любой момент.
Уведомление об утечках. Компании обязаны сообщать гражданам и регуляторам о любой утечке данных в течение 72 часов.
Оценка воздействия (DPIA). При обработке чувствительных данных (о здоровье, расовом происхождении, политических взглядах) или систематическом наблюдении за пользователями требуется проводить DPIA для прогнозирования рисков.
Документирование. Необходимо вести записи, подтверждающие соблюдение норм GDPR.
Ответственный за защиту данных (DPO). В организациях, работающих с большими объёмами данных, требуется назначить специалиста по защите данных.
Таким образом, GDPR установил новые стандарты защиты данных в банковской сфере, повысив требования к безопасности, прозрачности и контролю со стороны регуляторов и самих финансовых организаций.