Регулированием вопросов защиты личных данных клиентов занимается Государственная инспекция данных (Datu valsts inspekcija - DVI). Директор инспекции Екатерина Мацука рассказала LZ.LV как клиент может получить в банке собранную на себя информацию и узнать о том, каким инстанциям эта информация передавалась.
Банки, подписывая договор с клиентом, получают от него личные данные – персональный код, место жительства, место работы, данные по уплате налогов и другую информацию. Также банки проводят анализ рисков клиентов, собирая о персоне информацию из баз Службы государственных доходов, Кредитного бюро и других. Также банки могут исследовать законность происхождения финансовых средств клиентов через международные компании, предлагающие технологии скрининга и мониторинга соответствия требованиям AML/CTF (Anti-Money Laundering).
«Сейчас в ЕС очень актуальна тема борьбы с легализацией незаконно полученных средств и в Латвии есть закон «О предотвращении легализации средств, полученных преступным путем, и финансирования терроризма» («Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums»), который предписывает банкам изучать своих клиентов. Банк должен убедиться, что клиент и его сделки отвечают требованиям нормативных актов и его сделки не направлены на отмывание средств.
«У банков есть право требовать пояснение сделок, например, в случае если на счет клиента в заходит крупная сумма и в тот же день она переводится дальше - банк вправе выяснить откуда поступили деньги, с какой целью и почему были переведены дальше. Также банки проводят анкетирование клиентов, анализируют входящие и исходящие перечисления, собирают информацию по доступным базам данных, например по базе VID, из Кредитного бюро и других. Также FKTK разрешает использование другой информации о клиенте, если таковая есть в распоряжении банка. Источники получения этой информации FKTK не определяет», - говорит Мацука.
На сегодня, банки Латвии должны выдавать клиентам – физическим лицам, всю собранную о клиенте информацию и кто ее запрашивал (какая институция), а также кому и какая информация о клиенте предоставлялась. Исключение составляет только случаи, указанные в Законе об обработке данных физических лиц, например, когда запрос в банк осуществляется полицией в рамках уголовных дел. Правило предоставления информации касается только частных лиц, на фирмы оно не распространяется.
Есть случаи, когда банки по запросу клиента не предоставляют запрошенную информацию или предоставляет неполную информацию. В таких случаях Мацука рекомендует обращаться в DVI, которая может обязать банк предоставить клиенту информацию в полном объеме. «15-ая статья регулы о защите персональных данных гласит, что у персоны есть право получить информацию об обработке своих данных и такая информация должна быть предоставлена», - подчеркнула директор DVI. А в случае, если в результате действий банка констатированы убытки, то нужно обращаться в суд за возмещением причиненного ущерба, DVI вопросы возмещений ущерба не решает.
Латвия, как и другие страны Европейского союза, должна соблюдать нормы европейской регулы о Защите персональных данных GDPR, которая направлена на то, чтобы дать гражданам контроль над собственными персональными данными. GDPR - Общий регламент защиты персональных данных - регулирует сбор и оборот персональных данных подданных Евросоюза и предусматривает справедливость, прозрачность, открытость, точность и обновляемость личных данных.
Нормативные акты Латвии не регулируют работу зарубежных компаний, которые оказывают услуги по сбору и обработке личных данных физических и юридических лиц. Банки в рамках политики «знай своего клиента (KYC, Know Your Customer)» обращаются в зарубежные компании за информацией, которая собирается, хранится и распространяется вне норм регулирования GDPR.
В Латвии к закону «Об отмывании финансовых средств» разработаны поправки, которые будут определять порядок изучения клиентов. «По сути эти принципы планируется ввести в Латвии по директиве AML», - говорит Мацука. По этим поправкам банки, в рамках одного банка или бановской группы, смогут создать систему обмена информацией о клиентах. Или же может появится третья сторона, независимая компания, которая будет заниматься сбором данных и расследованиями в отношении клиентов и будет предоставлять данные банкам.
Как пояснила директор DVI: «Это будет подобно тому, как работает система сбора, обработки и хранения данных о клиентах у Кредитного бюро. Такая компания должна будет получить лицензию на работу с персональными данными в DVI. Также в поправках к закону предусмотрена процедура общения клиентов с новой структурой – как персона может получить собранную о себе информацию, если она неверная будет определен порядок исправления информации, а также порядок, по которому клиент сможет сам вносить информацию о себе.»
Данные поправки разработало министерство финансов. В мае они были представлены на собрании госсекретарей, осенью поправки могут быть поданы на рассмотрение правительства и после они поступят на утверждение в Сейм. Поправки к закону, по которым начнется создание новой структуры, могут вступить в силу в будущем году. По сути они предусматривают порядок сбора, обработки и хранения информации о частных лицах, сертифицировать компании будет DVI.