Finansai

Dilema finansų institucijoms: rinkti asmens duomenis ar labiau saugoti asmenų privatumą?

Duomenų apsaugos ekspertai atkreipia dėmesį, kad dėl neapibrėžto dalykinių santykių stebėjimo teisinio reglamentavimo finansų institucijos susiduria su gana paradoksalia situacija dėl klientų dalykinių santykių stebėjimo.

Finansų institucijos taiko taip vadinamą „pažink savo klientą“ principą, pagal kurį renka ir tvarko asmeninius klientų duomenis, reikalingus ne tik kliento tapatybės nustatymui, bet ir tam tikrai kliento stebėsenai. Tarp tokių duomenų patenka informacija apie planuojamas apyvartas sąskaitose, esamą ryšį su Lietuva, turimus giminaičius, susijusius su politika, turimą nekilnojamąjį turtą, planuojamas finansines operacijas ne tik atitinkamame banke, bet ir kituose bankuose bei pan. ketos pavyzdžiai ir t.t.

Mykolo Romerio universiteto profesorius, duomenų apsaugos ekspertas profesorius Darius Štitilis sako, kad finansų institucijoms galioja BDAR, pagal kurį  numatytas ir duomenų kiekio mažinimo principas, o asmeninių duomenų rinkimas apibrėžiamas siekiant konkretaus tikslo.  „Vadovaujantis tik šiuo principu finansų institucija galimai galėtų tik stebėti savo kliento neįprastas operacijas konkrečioje finansinėje institucijoje, o ne rinkti daugybę kitų duomenų“, – sako Darius Štitilis. Ir nors kliento tapatybės duomenų rinkimo tvarka gana aiškiai apibrėžta – teisės aktai pakankamai detaliai reglamentuoja, kokius duomenis galima ir reikia rinkti –  reglamentavimo painiava kyla dėl klientų dalykinių santykių stebėjimo.

Lietuvos banko nurodymai –  tik nuomonė, už kurių nesilaikymą – baudos?

Duomenų apsaugos ekspertas MRU docentas Marius Laurinaitis taip pat atkreipia dėmesį, kad dėl kliento dalykinių santykių stebėjimo teisinio reglamentavimo finansų institucijos susiduria su gana paradoksalia situacija. „Teisės aktuose nurodyta, kad finansų institucija turi stebėti savo klientų dalykinius santykius, tačiau nėra detalizuota nei stebėjimo tvarka, nei kokius asmeninius duomenis reiktų rinkti, – sako M. Laurinaitis. – Teisės aktuose,  šiuo konkrečiu atveju – Pinigų plovimo ir teroristų finansavimo prevencijos įstatyme apibrėžta, kad finansų institucija turi stebėti savo klientų dalykinius santykius, tačiau nėra detalizuota nei kaip tas turi būti daroma, nei kokie tie asmeniniai duomenys turi būti“.

Anot eksperto, panagrinėjus finansų institucijų tinklapiuose skelbiamas privatumo politikas ir kitą susijusią informaciją, matyti, kad finansų institucijos siekia pateisinti tokių didelių duomenų kiekių rinkimą, skelbdamos informaciją, iš kurios vartotojams gali susidaryti įspūdis, jog visa informacija renkama pagal nustatytą teisinę prievolę, apibrėžtą teisės aktais, tačiau tokia informacija, anot M. Laurinaičio, yra klaidinanti: „Kalbant apie kliento dalykinių santykių stebėjimą nėra nustatytos teisinės prievolės, nes teisės aktuose nustatyta pareiga finansų institucijoms neatitinka reikalavimų teisinei prievolei. Tarkim, teisės akte nėra nurodyti tvarkytini duomenys ir pan. Taigi finansų institucijos turėtų pagrįsti tvarkomų duomenų apimtį, nors to nedaro ir dedasi, kad tvarko tuos duomenis, kuriuos yra įpareigotos tvarkyti. Tokia klaidinanti informacija yra skelbiama net Lietuvos bankų asociacijos tinklapyje“, – sako M. Laurinaitis.

Pasak jo, Lietuvos bankas tarsi laikosi pozicijos, kad finansų institucijos turėtų rinkti kuo daugiau asmeninių duomenų, o priešingu atveju finansų institucijos yra baudžiamos. „Lietuvos bankas savo nurodymuose ir oficialiuose atsakymuose finansų įstaigoms gana imperatyviu tonu nurodo kokių asmens duomenų reikia, ir kokius papildomus asmens duomenis finansų įstaigos privalo gauti iš savo klientų, – M. Laurinaitis. – Tačiau būtina paminėti, kad tuose nurodymuose ar atsakymuose į finansų įstaigų oficialius paklausimus, Lietuvos bankas visada pabrėžia, kad jų raštas nėra oficialus teisės aktų aiškinimas, o tik pozicija“.

Ekspertas sako, kad finansų įstaigos tampa dviprasmiškos situacijos įkaitėmis. „Finansų institucijos, net jei  nesutinka su Lietuvos Banko pateikta pozicija, kuri teoriškai ir nėra privaloma, rizikuoja būti nubaustos to paties Lietuvos Banko. Iš kitos pusės, finansų institucijos rizikuoja teismuose būti nubaustos dėl perteklinio asmens duomenų rinkimo, net jei laikėsi Lietuvos banko nurodymų, kurie viso labo tėra nuomonė, o ne oficialus teisės aktų reikalavimų aiškinimas“, – sako Darius Štitilis.

Darius Štitilis pabrėžia, kad pagal dabar galiojančius teisės aktus nepriklausomai nuo to, ką nurodo Lietuvos Bankas ar Lietuvos bankų asociacija, tokie nurodymai gali būti pripažinti neteisėti BDAR požiūriu ir finansų institucijos rizikuoja, jog bus nubaustos pagal BDAR, pagal kurį sankcijos yra daug kartų didesnės ir gali siekti iki 20 mln. eurų. „Finansų institucijoms susiduria su dilema – ar rinkti daugiau duomenų, „prisidengiant“ neegzistuojančia teisine prievole ir Lietuvos banko galimomis sankcijomis, ar saugoti privatumą ir rinkti mažiau duomenų. Kol nėra patikslinti teisės aktai ar imtasi kitų priemonių, finansų institucijos rizikuoja bet kokiu atveju , – sako MRU docentas Marius Laurinaitis.  

Pranešimą paskelbė: Vaidotas Norkus, Mykolo Romerio universitetas
Dilema finansų institucijoms: rinkti asmens duomenis ar labiau saugoti asmenų privatumą?

(Perskaityta per mėnesį: 2, iš jų šiandien: 1.)