Редакция пообщалась с представителем европейского банка на международной конференции eCom21
В начале 2016 года вступила в силу платежная директива PSD2. У стран ЕС было два года на то, чтобы имплементировать требования нового законодательства, которое должно структурировать рынок платежных услуг в соответствии с требованиями цифровой эпохи.
В Украине тоже назревают подобные изменения — одним из основных условий развития FinTech в стране эксперты называют приведение украинского законодательства в соответствие с европейскими нормами. Редакция PaySpace Magazine решила выяснить, как проходили законодательные изменения в ЕС. И как они повлияют на украинские компании, которые нацелены на международный рынок. Подробнее о директиве — читайте в интервью с Ярославом Замулло, руководителем юридического управления латвийского банка Rietumu.
Ярослав, какие проблемы регулирования решает директива PSD2 на платежном рынке?
Она вводит определенные требования к банкам, к платежным компаниям. Делает более упорядоченным сам процесс, дает возможности провайдерам платежных сервисов осуществлять финансовую деятельность, полностью регулирует этот рынок, налагает права и обязанности на участников рынка, дает четкое понимание, кто за что отвечает.
В отличие от регулы, которая принимается Европарламентом и должна выполняться всеми странами-членами ЕС, директива дает более широкие возможности. Каждое государство имеет возможность самостоятельно регулировать существующие требования в рамках установленных коридоров.
Как банк Rietumu реагирует на эти нововведения?
Среди наших партнеров есть и те, которые осуществляют деятельность по предоставлению платежных сервисов. Собираемся соответствовать всем требованиям, предложенным директивой.
То есть открывать API, предоставлять данные сторонним компаниям?
Если у нас возникнет такая необходимость — придется выполнять.
С какими сложностями может столкнуться банк, открывая свои данные сторонним провайдерам?
Теоретизируя вообще про банки, все зависит от того, какую модель работы выберет учреждение — будет проводить все операции внутри, или передаст на аутсорс.
В первом случае банк сам проводит платежи, ведет счета, осуществляет сделки. И в таком случае ему не придется предоставлять сторонним компаниям никакие данные.
Второй путь — разделение ответственности и передача данных сторонним организациям.
Тут действуют очень четкие требования — какие конкретно данные и в каком объеме могут быть переданы партнеру. Конечно, есть риск, что он окажется недобросовестным. Тут необходимо самостоятельно оценить, какие требования вы выдвигаете в первую очередь партнеру, и каким образом оформлены ваши взаимоотношения. Ведь договором тоже можно отрегулировать в течение какого времени должны храниться определенные типы данных.
То есть, можно сказать, что директива PSD2, которая предписывает открывать данные, должна идти рука об руку с регулой о защите данных?
Безусловно, это ее неотъемлемая часть. Потому что защита потребительских данных всегда на первом месте. И передача данных не должна противоречить этому принципу.
В регуле по защите персональных данных четко прописано, что сторона передающая данные должна быть уверена, что эти данные используются только для конкретных целей. Например, данные для обработки платежа не могут потом использоваться в маркетинговых целях.
Вы не имеете права передавать эти данные маркетинговым компаниям, если не существует соответствующего соглашения.
Огромные объемы данных, которые сегодня попадают в интернет, позволяют представителям электронной коммерции и производителям товаров понимать, что покупают разные потребители и подстраиваться под их требования.
Однако все это должно происходить в рамках законодательства. За незаконный сбор и передачу информации без согласия клиента налагаются достаточно большие санкции.
Какие санкции предусмотрены за нарушение правил защиты персональных данных?
До 20 млн евро или до 4% от оборота. Практика показывает, что нарушение всегда рассматривают в совокупности. Если кто-то по ошибке отослал скан-копию паспорта — это не значит, что он будет платить 20 млн евро. Но чисто теоретически, даже такое невинное действие подпадает под регулирование. Даже внутри банка должно регулироваться, кто из сотрудников имеет право доступа и к каким клиентским данным.
Предположим, если директива будет действовать только на территории Евросоюза, как FinTech-стартап из Украины сможет сотрудничать с европейским банком. И как на него будет распространяться действие PSD2?
На украинское предприятие директива распространяться не будет, если оно не вступит в отношения с европейскими субъектами. Но если вы хотите каким-то образом обслуживаться через европейские банки, получать европейские сервисы — в рамках этих отношений вы должны будете соответствовать PSD2.
Но больше вопросов будет не к украинской компании, а к европейскому банку, который оказывает сервисы иностранному провайдеру.
Например, украинский интернет-магазин продает что-то на европейский рынок. А сервис оказывает европейский банк. Естественно, данные, которые попадают в европейский банк, подлежат защите в соответствии с правилами ЕС.
Что бы вы посоветовали украинским коллегам?
Внимательно изучать законодательство. И не думать, что их это не коснется. Чтобы сотрудничать, они должны соответствовать высоким требованиям к защите персональных данных. В противном случае, это сотрудничество может быть вообще невозможно.
Представим ситуацию, когда европейский банк оказывает какую-то услугу украинскому финучреждению. И в формате этого сервиса есть необходимость в передаче клиентских данных, содержащих чувствительную информацию. В таком случае европейское учреждение должно убедиться в том, что эти данные будут защищены на стороне иностранного партнера так же, как и на территории ЕС.
Конечно, это может налагать определенные ограничения и на европейские банки. Это неудобно. Но я не думаю, что европейские банки будут готовы что-то нарушать ради сотрудничества.
Тут можно говорить о расширенной юрисдикции — если вы хотите с нами сотрудничать — соответствуйте, пожалуйста.
ВАС ЗАИНТЕРЕСУЕТ — Онлайн-бизнес в Европе: ТОП-3 тренда в регулировании, которые изменят рынок