Казначейство согласие на обработку персональных данных: ПАМЯТКА и Согласие на обработку персональных данных по получению квалифицированного сертификата ключа проверки электронных подписей

ПАМЯТКА и Согласие на обработку персональных данных по получению квалифицированного сертификата ключа проверки электронных подписей

Регионы

roskazna.ru Алтайский край Амурская область Архангельская область и Ненецкий автономный округ Астраханская область Белгородская область Брянская область Владимирская область Волгоградская область Вологодская область Воронежская область Донецкая Народная Республика Еврейская автономная область Забайкальский край Запорожская область Ивановская область Иркутская область Кабардино-Балкарская Республика Калининградская область Калужская область Камчатский край Карачаево-Черкесская Республика Кемеровская область – Кузбасс Кировская область Костромская область Краснодарский край Красноярский край Курганская область Курская область Ленинградская область Липецкая область Луганская Народная Республика Магаданская область Межрегиональное бухгалтерское УФК Межрегиональное контрактное управление Федерального казначейства Межрегиональное контрольно-ревизионное УФК Межрегиональное операционное УФК Межрегиональное УФК в сфере управления ликвидностью Межрегиональное УФК по централизованной обработке данных Москва Московская область Мурманская область Нижегородская область Новгородская область Новосибирская область Омская область Оренбургская область Орловская область Пензенская область Пермский край Приморский край Псковская область Республика Адыгея Республика Алтай Республика Башкортостан Республика Бурятия Республика Дагестан Республика Ингушетия Республика Калмыкия Республика Карелия Республика Коми Республика Крым Республика Марий Эл Республика Мордовия Республика Саха (Якутия) Республика Северная Осетия-Алания Республика Татарстан Республика Тыва Республика Удмуртия Республика Хакасия Ростовская область Рязанская область Самарская область Санкт-Петербург Саратовская область Сахалинская область Свердловская область Севастополь Смоленская область Ставропольский край Тамбовская область Тверская область Томская область Тульская область Тюменская область Ульяновская область Хабаровский край Ханты-Мансийский автономный округ — Югра Херсонская область Центр по обеспечению деятельности Казначейства России Челябинская область Чеченская Республика Чувашская Республика Чукотский автономный округ Ямало-Ненецкий автономный округ Ярославская область

Размер шрифта AA

официальный сайт Казначейства России

например,

О Казначействе

Новости и сообщения

Исполнение бюджетов

Финансовые операции

Иная деятельность

Прием обращений

Расширенный поиск

Федеральное казначейство

официальный сайт Казначейства России
www. roskazna.ru

• Новости
• Анонсы мероприятий

ПАМЯТКА и Согласие на обработку персональных данных по получению квалифицированного сертификата ключа проверки электронных подписей

16 августа 2019

Управление Федерального казначейства по Республике Калмыкия (далее — Управление), в связи с изменением адреса Федерального Казначейства сообщает о размещении на Интернет-сайте Управления, обновленной памятки и согласия на обработку персональных данных по получению квалифицированного сертификата ключа проверки электронных подписей в разделе «ГИС» — «Удостоверяющий центр» — «Нормативные документы».

 

Просим Вас использовать в работе Памятку и согласие на обработку персональных данных с 09 августа 2019 г.

Юридическая консультация

Главная → Участникам госзаказа → Юридическая консультация

Не нарушает ли требования Закона № 152-ФЗ «О персональных данных» обязанность заказчика при заключении контракта с физическим лицом, согласно Закону № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», публиковать в ЕИС все сведения о нем?

Организация периодически заключает договоры подряда на выполнение работ (оказание услуг) с физическим лицом, то есть производит закупку работ (услуг). В соответствии с требованиями Федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» организация обязана публиковать все сведения (наименование контрагента, предмет, ИНН, сумму договора и др. ) о заключенном договоре в Единой информационной системе, а с 2016 года также обязана публиковать отсканированный вид договора. Таким образом, публикуются фамилия, имя, отчество, ИНН, паспортные данные, адрес регистрации, сумма и предмет выполняемых работ (услуг) физического лица, что нарушает требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В свою очередь, непубликация вышеуказанных данных влечет за собой нарушение требований Закона № 223-ФЗ.

Как правильно поступать заказчику при осуществлении подобных закупок?

Рассмотрев вопрос, мы пришли к следующему выводу: заказчик обязан направлять предусмотренные нормативными актами сведения, содержащие персональные данные контрагентов, в Федеральное казначейство для включения в реестр договоров. Получать согласие субъекта персональных данных для этого не требуется.

Обоснование вывода

Согласно ч. 1 ст. 4.1 Федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», абз. 2 подп. «е» п. 2 Правил ведения реестра договоров, заключенных заказчиками по результатам закупки, утвержденных постановлением Правительства РФ от 31.10.2014 № 1132, информация в отношении физического лица, с которым заключен договор в порядке, предусмотренном Законом № 223-ФЗ (фамилия, имя, отчество (при наличии), место жительства и идентификационный номер налогоплательщика), направляется заказчиком в Федеральное казначейство для включения в реестр договоров.

В силу п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» такая информация представляет собой персональные данные. Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (распространение, предоставление и т.п.) персональных данных представляют собой их обработку (п. 2 ст. 3 Закона № 152-ФЗ).

Следовательно, заказчик, направляя в Федеральное казначейство персональные данные физических лиц, с которыми у него заключены договоры, осуществляет обработку персональных данных.

По общему правилу, обработка персональных данных должна осуществляться с согласия субъекта персональных данных (ст. 6, 9 Закона № 152-ФЗ). Исключения из этого правила предусмотрены п. 2 — 11 ч. 1 ст. 6 Закона № 152-ФЗ. В частности, обработка персональных данных без согласия субъекта персональных данных допускается, если она необходима в целях, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). В рассматриваемой ситуации персональные данные передаются заказчиком в Федеральное казначейство во исполнение обязанностей, возложенных на заказчика Законом № 223-ФЗ, поэтому для такой обработки согласие субъекта персональных данных не требуется.

В заключение отметим, что в ряде разъяснений представителей государственных органов можно встретить позицию, предполагающую в целях получения согласия потенциальных контрагентов на обработку их персональных данных включать в документацию о закупке в соответствии с п. 9 ч. 10 ст. 4 Закона № 223-ФЗ соответствующее требование к участникам закупки, являющимся физическими лицами (см., например, п. 1 письма Минфина России от 20.03.2015 № 02-02-09/15487, письмо Министерства экономического развития РФ от 16.01.2015 № Д28и-54). На наш взгляд, подобные разъяснения основаны на неверном толковании положений Закона № 152-ФЗ. Кроме того, упомянутые органы не уполномочены давать официальные разъяснения по вопросам применения законодательства о персональных данных.

Татьяна Чашина и Алексей Александров, эксперт и рецензент службы правового консалтинга ГАРАНТ.

Назад в раздел

Не платить — Программа конфиденциальности

Закон об информации о честности платежей от 2019 года (PIIA) кодифицирует текущие усилия по разработке и совершенствованию мер, принимаемых для предотвращения, растраты, мошенничества и злоупотреблений в федеральных расходах.

Все федеральные агентства должны соблюдать Закон о конфиденциальности 1974 года, который направлен на защиту конфиденциальности информации, обнаруженной в записях, используемых федеральными агентствами. Ряд источников данных, используемых DNP, помечен как «Ограниченный», поскольку они содержат личную информацию. Когда агентство запрашивает доступ к источникам данных с ограниченным доступом, может потребоваться Соглашение о сопоставлении компьютеров (CMA), чтобы гарантировать, что агентства соблюдают правила управления, защищающие эту информацию.

Закон о конфиденциальности от 1974 г.

Закон о конфиденциальности от 1974 г. с поправками, представленными в соответствии с 5 U.S.C. § 552a регулирует DNP при обработке данных, чтобы обеспечить защиту записей о лицах, полученных с помощью личных идентификаторов, таких как имя, номер социального страхования или другой идентификационный номер или символ. 5 марта 2021 года Управление Управление и бюджет (OMB) выпустили Меморандум M-21-19, чтобы обеспечить полную защиту частной жизни при одновременном сокращении неправомерных платежей в рамках инициативы DNP.

Компьютерные программы сопоставления

Закон о компьютерном сопоставлении и защите конфиденциальности от 1988 г. (Закон), Pub.L.100-503, вносит поправки в Закон о конфиденциальности 1974 г. и устанавливает процессуальные гарантии, влияющие на использование агентствами записей Закона о конфиденциальности при выполнении определенных типов компьютеризированных программ сопоставления. . Закон регулирует использование компьютерного сопоставления федеральными агентствами с использованием записей, позволяющих установить личность, которые хранятся в системе записей, подпадающих под действие Закона о конфиденциальности. Закон требует, чтобы агентства имели письменные соглашения с указанием условий, на которых должны проводиться матчи. Акт применяется к компьютеризированному сравнению двух или более автоматизированных систем учета (или федеральных кадровых систем или систем учета заработной платы) между федеральными агентствами или между федеральным агентством и нефедеральным агентством. с целью установления или проверки права или соответствия в отношении денежной или натуральной помощи или выплат в рамках федеральных программ пособий. Программы компьютерного сопоставления чаще называются соглашениями о сопоставлении компьютеров или CMA.

До 5 U.S.C. § 552a(o), любая запись, содержащаяся в системе записей, может быть раскрыта только агентству-получателю или нефедеральному агентству для использования в компьютерной программе сопоставления в соответствии с CMA. Программы компьютерного сопоставления DNP, опубликованные в Федеральном реестре, и другая документация по сопоставлению представлены ниже:

.

DNP CMA с HHS Centers for Medicare & Medicaid Services (CMS)

DNP CMA Waiver с Администрацией малого бизнеса

DNP CMA по делам ветеранов

Уведомления о системе записей (SORN)

Система записей определяется Законом о конфиденциальности 1974 г. как «группа любых записей, находящихся под контролем любого агентства, из которых извлекается информация по имени человека или по какому-либо идентификационному номеру, символу или другому назначенному идентификационному номеру». к личности».

Правила, освобождающие системы записей от определенных требований Закона о конфиденциальности, содержатся в 28 CFR, часть 16, подраздел E. Ниже приведен список систем записей, поддерживаемых DNP и агентствами-первоисточниками, которые подпадают под действие Закона о конфиденциальности от 1974.

1. Credit Alert System (CAIVRS) – CAIVRS состоит из данных следующих агентств:

   1. Департамент образования (образования)

   2. Департамент жилищного строительства и городского развития (HUD)

   3. Министерство юстиции (DOJ) — Система принудительного взыскания долгов, JUSTICE/DOJ-016

   4. Управление малым бизнесом (SBA) — SBA 21 — Кредитная система и SBA 20 — Дело о кредитах на случай стихийных бедствий

   5. Министерство сельского хозяйства США (USDA)

   6. Дела ветеранов (VA) — Система записей, компенсаций, пенсий, образования и реабилитации VA в соответствии с Законом о конфиденциальности — VA (58VA21/22/28)

   Некоторые агентства в настоящее время находятся в процессе подтверждения своих применимых SORN CAIVRS и повседневного использования, позволяющего раскрывать информацию DNP. Ссылки на эти SORN будут публиковаться по мере их выявления.

2. Казначейская компенсационная программа (TOP) Проверка долга Министерства финансов — FMS .014 — Система операций по взысканию долгов

3. Записи о регистрации и исключении субъектов SAM (называемые в IPERIA системой списков исключенных сторон) Управления общих служб (GSA)

4. Список исключенных физических и юридических лиц Управления Генерального инспектора Министерства здравоохранения и социальных служб (HHS) – Нарушения программы здравоохранения

5. Казначейство/Фискальная служба .017 – Записи подтверждения платежа не платить

Различия между графиками хранения записей источников данных или другими ограничениями (например, повседневное использование) и Казначейством/Бюро налоговой службы . 023 SORN будут перечислены ниже.

7 октября 2012 г. министр финансов издал приказ 136–01 о создании в рамках министерства финансов бюро фискальной службы (фискальной службы). Новое бюро объединило бюро, ранее известные как Служба финансового управления (FMS) и Бюро государственного долга (BPD). 2 октября 2013 г. Фискальная служба опубликовала окончательное правило, в котором были изменены ссылки в 31 CFR Part 202-39.1 с «ФМС» или «БПД» на «Фискальная служба».

Окончательное правило (2 октября 2013 г.)

Процесс исправления данных

Закон об информации о целостности платежей от 2019 г. (PIIA) требует, чтобы DNP описывал процесс исправления данных на своем веб-сайте. Всякий раз, когда агентство-первоисточник получает запрос на исправление данных, оно может следовать существующему процессу обработки таких запросов в соответствии с применимыми законами, правилами или политиками. Агентство оперативно рассмотрит запрос и примет решение. Если агентство решит, что данные необходимо исправить, данные будут исправлены как в агентстве-первоисточнике, так и на портале DNP, чтобы избежать расхождений между двумя версиями одного и того же набора данных.

Пожалуйста, направляйте любые запросы на исправление данных агентства-первоисточника соответствующему агентству-первоисточнику. Источники данных и соответствующие агентства перечислены ниже:

Таблица может прокручиваться на небольших экранах

Источник данных	Контактная информация	Примеры триггеров запроса на исправление данных
Американский информационный источник (AIS)	https://www.americaninfosource.com/contact-us/deceased-data-inquiry	Если получатель платежа указан как умерший, а это не так.
Система кредитных оповещений (CAIVRS) — DOJ	https://www.justice.gov/opcl/doj-privacy-act-requests Запрос на изменение или исправление записей в соответствии с Законом о конфиденциальности Закон о конфиденциальности также разрешает физическому лицу запрашивать поправку или исправление записи, относящейся к этому физическому лицу, с учетом определенных ограничений и исключений. Подача запроса на изменение или исправление Закона о конфиденциальности Запрос на изменение или исправление сведений о вас в Министерстве юстиции можно подать лично или в письменной форме непосредственно в подразделение Департамента, которое ведет записи. В большинстве случаев центральный офис компонента Закона о конфиденциальности или Закона о конфиденциальности/FOIA является подходящим местом для отправки запроса на внесение изменений в Закон о конфиденциальности. Список контактов можно найти по адресу: https://www.justice.gov/oip/find-foia-contact-doj/list. Если вы считаете, что Министерство юстиции ведет записи, которые вы хотели бы изменить или исправить, но вы не уверены, какие компонент имеет записи, вы можете отправить ваш запрос в отдел направления почты Департамента по телефону: Почтовое направление FOIA / PA Министерство юстиции Комната 115 Местный офис № Вашингтон, округ Колумбия 20530-0001 Телефон: (202) 616-3837 Электронная почта: [email protected] Затем сотрудники отдела направления по почте направят ваш запрос в компонент Министерства юстиции, который, по их мнению, с наибольшей вероятностью будет вести записи, которые вы хотели бы изменить или исправить.	Если физическое лицо не является просроченным федеральным заемщиком.
Система кредитных оповещений (CAIVRS) – HUD	Если вы делаете письменный запрос на исправление данных, письма должны быть адресованы: Сотрудник Закона о конфиденциальности Департамент жилищного строительства и городского развития 451 7-я улица ЮЗ, CVB-4 этаж Вашингтон, округ Колумбия 20410 Узнайте больше на HUD.gov	Если физическое лицо не является просроченным федеральным заемщиком.
Система кредитных оповещений (CAIVRS) – SBA	www.sba.gov/content/privacy-act-requests	Если физическое лицо не является просроченным федеральным заемщиком.
Система оповещения о кредитах (CAIVRS) – Министерство сельского хозяйства США (RD)	Телефон: 800-428-9643 Электронная почта: [email protected]	Если физическое лицо не является просроченным федеральным заемщиком.
Система оповещения о кредитах (CAIVRS) — Агентство сельскохозяйственных услуг Министерства сельского хозяйства США (FSA)	Телефон: 800-428-9643 Электронная почта: [email protected]	Если физическое лицо не является просроченным федеральным заемщиком.
Система кредитных оповещений (CAIVRS) – VA	https://www. va.gov/debtman/ Центр управления долгом штата Вирджиния, 800-827-0648	Если физическое лицо не является просроченным федеральным заемщиком.
Электронная верификация актов гражданского состояния Факт смерти (EVVE FOD)	EVVE FOD Контакты	Если получатель платежа указан как умерший, а это не так.
Система GSA для управления наградами (SAM) — записи о регистрации юридических лиц и записи об исключении	Агентство, предпринимающее действия по исключению, и назначенное этим агентством контактное лицо по исключениям. Служба поддержки SAM: Служба Федеральной службы 866-606-8220 www. fsd.gov	Если физическое лицо числится лишенным прав, а это не так.
Список исключенных физических и юридических лиц HHS OIG (LEIE)	Отдел внешних связей HHS OIG, 202-691-2311 [email protected]	Если организация не должна быть исключена из участия в федеральных программах здравоохранения.
Основной файл смерти SSA (DMF)	Местный отдел социального обеспечения лица, который можно найти по адресу: secure.ssa.gov/ICON/main.jsp	Если получатель платежа указан как умерший, а это не так.
Казначейская компенсационная программа (TOP) Проверка долга	Если у вас есть долг перед государством: Вы должны связаться с конкретным федеральным агентством или штатом, которому вы должны деньги. TOP не может принимать меры для погашения вашего долга, обсуждать с вами ваш долг или возвращать ваши деньги. Система интерактивного голосового ответа (IVR) TOP по номеру 800-304-3107 подскажет, кому звонить. Клиенты с нарушениями слуха могут воспользоваться Федеральной службой ретрансляции, набрав 800-877-8339, чтобы связаться с помощником по связи (CA), который наберет бесплатный номер.	Если физическое лицо не имеет просроченной неналоговой задолженности перед федеральным правительством (и государствами-участниками).

Оценка воздействия на конфиденциальность

Раздел 208 Закона об электронном правительстве от 2002 года требует, чтобы агентства проводили оценку воздействия на конфиденциальность (PIA) для систем или проектов информационных технологий (ИТ), которые собирают, хранят или распространяют личную информацию (PII) от представителей общественности или о них. PIA требуется для новых систем или проектов, тех систем, которые подвергаются модификации или усовершенствованию, а также для электронных коллекций информации Закона о сокращении бумажной работы. Меморандум ОМБ М-03-22, (9/26/2003), содержит руководство по проведению PIA, а также процедуры обработки и размещения завершенных оценок. Ниже приведены ссылки на отдельные PIA, относящиеся к DNP: PIA

рабочей системы казначейства.

Запросы на назначение для новых источников данных

Чтобы OMB рассмотрел вопрос о добавлении нового государственного или коммерческого источника данных, команда Do Not Pay должна предоставить OMB письменную оценку, подтверждающую пригодность нового источника данных. При рассмотрении дополнительных источников данных для назначения OMB рассмотрит как минимум:

1. Установленные законом или иные ограничения на использование и обмен определенными данными;
2. Ограничения конфиденциальности и риски, связанные с конкретными данными;
3. Вероятность того, что данные укрепят целостность программы между программами и агентствами;
4. Преимущества оптимизации доступа к данным через центральную инициативу DNP;
5. Затраты, связанные с расширением или централизацией доступа, включая модификации, необходимые для системных интерфейсов или других возможностей, чтобы сделать данные доступными; и
6. Другие соображения политики и заинтересованных сторон, если это необходимо. Прежде чем назначить дополнительные источники данных, OMB опубликует 30-дневное уведомление о предложении о назначении в Федеральном реестре с просьбой предоставить общественное мнение. По завершении 30-дневного периода комментариев, если OMB решит завершить назначение, OMB опубликует уведомление в Федеральном реестре, чтобы официально назначить источник данных для включения в инициативу DNP.

Последнее изменение 09.02.23

Что означает GDPR для корпоративных казначеев?

Внедрение GDPR требует значительной работы как министерств финансов, так и их банков, сообщает Грэм Бак.

Пятница, 25 мая, является датой соблюдения Общего регламента ЕС по защите данных (GDPR), когда более 200 страниц правил конфиденциальности данных будут влиять на то, как компании управляют, обрабатывают и удаляют данные.

GDPR применяется ко всем 28 государствам-членам ЕС и направлен на стандартизацию и усиление защиты данных для всех граждан ЕС (даже если они проживают в стране, не входящей в ЕС), а также регулирует экспорт персональных данных в страны, не входящие в ЕС. страны ЕС.

По сути, регламент касается прозрачности и подотчетности при сборе и использовании персональных данных, говорит Федельма Гуд, директор практики защиты данных PwC.

«GDPR — это эволюция в защите данных, а не революция, — отмечает Гуд, — и он направлен только на то, чтобы основываться на существующих принципах, которые действовали в течение последних 20 лет, включая справедливость, прозрачность, точность, безопасность. , минимизация и, прежде всего, соблюдение прав лица, персональные данные которого обрабатываются».

 GDPR поднимает планку в отношении сбора, обработки и обмена персональными данными, но не запрещает раскрытие этих данных 

Она добавляет: «Это все принципы, которые должна знать любая организация, обрабатывающая персональные данные. и придерживаясь. GDPR требует от организаций большей ответственности за использование ими персональных данных и расширяет существующие права отдельных лиц в отношении этих персональных данных».

Любая компания, независимо от ее местонахождения, которая хранит данные о гражданах ЕС, должна соответствовать требованиям GDPR.

Это означает, что банки вместе с другими организациями, которые проводят проверки личности и хранят конфиденциальную информацию о клиентах, должны быть полностью прозрачными в отношении того, что происходит с этими данными после их использования.

Правительство согласилось привести законодательство Великобритании в соответствие с GDPR, который переносится в законопроект о защите данных. Перед банками и другими поставщиками финансовых услуг стояла задача оценить и усовершенствовать свои методы обработки данных клиентов, чтобы они соответствовали процессам как GDPR, так и KYC.

KYC выходит за рамки простого подключения нового клиента, поскольку информация требует регулярного обслуживания и обновления по мере необходимости, чтобы обеспечить ее актуальность.

Согласие на кодификацию

Банки и страховщики давно требуют какую-либо поддающуюся проверке информацию, чтобы доказать, что клиент является тем, кем он себя называет (или директорами/уполномоченными лицами, если клиент является компанией) – обычно в форме паспорт или водительские права – для соблюдения мер по борьбе с отмыванием денег и предотвращения других форм мошеннической деятельности.

Однако GDPR поднимает вопрос о том, существуют ли другие способы предоставления информации, не связанные с передачей документа, подтверждающего личность.

«Одним из ключевых вопросов для процессов комплексной проверки KYC является согласие», — отмечает Сюзанна Хаммонд, старший эксперт по нормативно-правовой базе Thomson Reuters.

«Основная концепция, — объясняет Хаммонд, — заключается в том, что согласие требуется в качестве законного основания (или условия) для обработки личной информации.

«Хотя концепция согласия и сопутствующие правила были в предыдущих версиях законодательства о защите данных, GDPR содержит более подробную информацию и кодифицирует существующие рекомендации и передовую практику».

Она добавляет: «Регламент GDPR намеренно устанавливает высокие стандарты для согласия, ожидая, что у компаний будут четкие, детализированные методы согласия, хорошие записи и простые и легкодоступные способы отзыва согласия».

Тем не менее, компаниям разрешено настаивать на сборе персональных данных, если это является основой для предоставления услуги, т. е. они могут отказаться предоставлять эту услугу, если клиент отказывается разрешить сбор и хранение данных.

Мутить воду?

Однако проблема GDPR усложняется другим недавно принятым законодательством.

Это включает в себя пересмотренную директиву о платежных услугах, также известную как PSD2, инициативу по созданию единого европейского цифрового рынка платежных услуг.

PSD2, представленный в январе этого года, направлен на поощрение инноваций, конкуренции и эффективности на рынке розничных платежей ЕС, а также ужесточение стандартов безопасности для онлайн-платежей.

Он требует, чтобы банки делились данными банковских счетов своих клиентов с широким кругом сторонних поставщиков платежных услуг.

В начале 2018 года также была представлена ​​обновленная Директива о рынках финансовых инструментов (MiFID II), обширный законодательный акт, обеспечивающий более надежную защиту инвесторов и повышающий прозрачность классов активов, начиная от акций и заканчивая биржевыми ценными бумагами с фиксированным доходом. фонды и FX.

В идеале, все эти новые законы должны плавно стыковаться друг с другом. Реальность — это степень конфликта; например, с целью MiFID защитить инвесторов путем сбора дополнительной информации о них и их деятельности, что противоречит задаче GDPR по усилению их прав на конфиденциальность данных.

Было высказано предположение, что это создает трудный баланс между банками и страховщиками.

На первый взгляд может показаться, что MiFID II, PSD2, а также Open Banking противоречат GDPR, соглашается Гуд.

«Элементы всех этих правил охватывают необходимость сбора информации и обмена ею с другими — иногда с самим человеком, иногда с другими органами, назначенными этим лицом, или с инвесторами», — отмечает она.

«Да, GDPR поднимает планку в отношении сбора, обработки и обмена личными данными, но он не запрещает раскрытие этих данных — скорее, он устанавливает более строгие правила для того, как это может происходить. . Полная прозрачность, обеспечение безопасности данных и предоставление индивидуального выбора и контроля являются ключевыми факторами.

«Итак, вместо того, чтобы создавать конфликты, — добавляет Гуд, — я бы сказал, что в этих правилах есть дублирование, поскольку все они требуют сбора, обработки и обмена личными данными, некоторые из которых могут быть конфиденциальными по своему характеру».

Тест на компетентность

Для корпоративных казначеев GDPR является еще одним тестом на компетентность их банков по связям с общественностью, полагает Джоанна Боннетт, казначей группы PageGroup: глобальный рекрутинговый бизнес с более чем 100 дочерними компаниями по всему миру.

Насколько грамотно банк обращается с предоставленным ему удостоверением личности? И избавит ли это казначейские команды от необходимости постоянно спрашивать у своих старших сотрудников одно и то же удостоверение личности несколько раз?

Должны ли корпоративные казначеи также знать о GDPR и его последствиях? Да, очень даже — как и юридические и комплаенс-группы организации, а также секретарь компании.

Все должны быть связаны с GDPR и обеспечивать соответствие организации его требованиям. Штрафы за несоблюдение строгие, с потенциальными штрафами до 20 миллионов евро или 4% от глобального оборота организации за самые серьезные нарушения.

Однако Боннетт считает, что министерства финансов не могут рассчитывать на то, что их банк будет активно действовать в отношении GDPR.

«Обязанность обратиться к ним лежит на нас, поскольку банки, как правило, больше ориентированы на внутренние дела, чем на внешние», — предполагает она.

«Мы обеспечили обновление условий для каждого из наших банковских партнеров, что, хотя и оказалось длительным процессом, было относительно простым», — добавляет она.

«Нам необходимо убедиться, что положения и условия обновлены соответствующим образом и что эти обновления распространяются на такие элементы, как файлы платежных ведомостей, которые содержат большой объем данных».

Боннет отмечает, что KYC уже 10 лет назад прошла путь от «кустарного производства» до индустриального — длительного и очень сложного процесса, который организации обязаны проходить каждый год.

Многие организации имеют европейских директоров, работающих в регионах мира, таких как Латинская Америка, на которые распространяется действие регламента GDPR, хотя они могут быть резидентами Бразилии.

«Слишком часто поставщики банковских услуг в Латинской Америке либо не слышали о GDPR, либо слышали, но не беспокоятся об этом и ничего не сделали для обеспечения их соблюдения», — говорит она.

«В других юрисдикциях, таких как Япония и Австралия, есть собственный эквивалент GDPR, но он может отличаться во всех отношениях».

GDPR и казначейство: три важных момента

1. GDPR влияет на данные KYC двумя способами. Повышение требований к безопасности должно побудить компании пересмотреть внутренние политики, например разрешить сотрудникам приносить свои собственные незащищенные устройства и разрешить им забирать конфиденциальные данные домой по вечерам и в выходные дни (по крайней мере, если эти конфиденциальные данные могут содержать личную информацию). Протоколы информационной безопасности должны быть определены и поддерживаться в каждой области организации. Это также означает более широкое использование автоматизации в процессах регистрации клиентов, мониторинга и обогащения данных, необходимых для выполнения требований GDPR.
2. Казначеи не должны бояться спрашивать, как их банк справляется с хрупким балансом требований, созданным недавним регулированием. Например, очевидное противоречие между защитой инвесторов в рамках MiFID II посредством сбора дополнительной информации о них и их соответствующей деятельности при соблюдении их усиленных прав на конфиденциальность данных в соответствии с GDPR. Что банк делает с предоставленными данными KYC? Надежно ли он хранится или уничтожается после проверки деталей?
3. Требования GDPR полностью изложены Управлением Комиссара по информации. Все подробности здесь.

Об авторе

Грэм Бак — независимый журналист, специализирующийся на казначействе, управлении рисками, страховании и пенсионном обеспечении

Чтобы получить больше полезной информации, войдите в систему , чтобы просмотреть полный выпуск, или 9039.