Tikrins 15 finansų įstaigų

Valstybinė duomenų apsaugos inspekcija (VDAI), pristatydama savo 2021 m. suplanuotus darbus, pranešė, kad iki metų pabaigos patikrins penkiolika kredito unijų, bankų ir kitų finansinių įmonių, ar šie nereikalauja perteklinių asmens duomenų iš savo klientų. Inspektoriai patikrinimus, kaip patys sako, dėl asmens duomenų teikiant mokėjimo inicijavimo paslaugas apimties ketina pradėti nuo "Paysera LT" UAB, paskui jų akiratyje: "NEO Finance", "Google Payment Lithuania", "European Merchant Bank", " Kevin EU", SEB bankas, "Swedbank", "Revolut Payments", Šiaulių bankas, Šeimos kredito unija, Trakų kredito unija, kredito unija "Saulėgrąža", Vilkaviškio kredito unija, "Argentum mobile", "Montonio Finance".

Tokių patikrinimų būtinybę pastebi ir Lietuvos bankas, gaunantis vis daugiau bankų, elektroninių pinigų ir kitų finansų įstaigų klientų klausimų ir nusiskundimų dėl perteklinių reikalavimų, siejamų su prašymais užpildyti, atnaujinti kliento pažinimo anketą ar pateikti papildomą informaciją.

Nagrinėjant juos, šalies centrinio banko atstovai pastebi atvejų, kai tikrai iš žmonių prašoma galimai daugiau informacijos, nei būtina jų keliamai rizikai tinkamai įvertinti ir valdyti. Pasitaiko ir atvejų, kai tiesiog vengiama rizikos, susijusios su tam tikrais klientais, užuot ją valdžius. Tokiu atveju kyla pavojus, kad atskiriems žmonėms ar verslo įmonėms būtiniausios finansinės paslaugos (pavyzdžiui, mokėjimo sąskaitos) gali tapti neprieinamos.

Bet… kontrolės reikia

Kita vertus, Lietuvos bankas sako, kad, griežtėjant pinigų plovimo ir teroristų finansavimo (PPTF) prevencijos reikalavimams ir finansų rinkos dalyviams šiai sričiai skiriant vis daugiau dėmesio, būtina tikrinti, kas yra kas.

"Labai svarbu suprasti, kad būtent finansų rinkos dalyviai yra pirmoji gynybos linija, užkertanti kelią pinigų, gautų iš prekybos narkotikais, ginklais, žmonėmis, legalizavimui, taip pat teroristų galimybėms įgyvendinti savo kėslus. Vis dėlto, valdydami riziką, finansų rinkos dalyviai turi taikyti priemones, kurios būtų šiai rizikai proporcingos. Savo ruožtu finansų įstaigų klientus kviečiame bendradarbiauti teikiant informaciją, o kilus klausimų, pirmiausia pamėginti spręsti juos kartu su finansinių paslaugų teikėju. Šiais metais Lietuvos bankas skirs daug dėmesio vertindamas, ar galimybės naudotis mokėjimo paslaugomis nėra nepagrįstai ribojamos", – praeitą antradienį teigė Lietuvos banko Finansų rinkos priežiūros tarnybos direktorė Jekaterina Govina.

Klientai dažniausiai piktinasi dėl klausimų išsamumo: kodėl finansų įstaigai reikia tiek daug žinoti apie mane – aš juk pinigų neplaunu, kur mano teisės į privatų gyvenimą? Persiunčiau artimajam pinigus, kodėl bankas klausia apie mano persiųstų lėšų kilmę?

Tačiau, Lietuvos banko teigimu, finansų rinkos dalyviai privalo tinkamai pažinti savo klientą ir stebėti dalykinius santykius. Teisės aktuose išsamiai nenustatyta, kiek ir kokios informacijos finansų įstaigos turi prašyti kliento kiekvienu atveju. Jos pačios tai sprendžia vertindamos riziką, todėl informacijos kiekis ir pobūdis konkrečiu atveju gali skirtis. Lietuvos banko nuomone, visais atvejais finansų įstaigos turėtų prašyti klientų pateikti tiek informacijos, kiek yra pakankama konkrečiu atveju valdyti PPTF riziką.

Lietuvos bankas stebi, kad finansų įstaigos nepiktnaudžiautų teise nutraukti santykius su klientais, o tokią priemonę taikytų tik kraštutiniu atveju.

Daugėja e.atsiskaitymų

Dar pernai, pasibaigus pirmajam karantinui, Lietuvos banko valdybos narys Marius Jurgilas atkreipė dėmesį, kad 2020 m. antrąjį ketvirtį, palyginti su 2019-ųjų tuo pat metu, atsiskaitymo naudojant "Bank Link" paslaugą skaičius buvo 51 proc. didesnis, o mokėjimo kortelėmis atsiskaitymo internetu operacijų skaičius išaugo 125 proc.

Tiesa, Lietuvoje ir iki karantino įvedimo mokėjimų negrynaisiais pinigais naudojimas nuosekliai didėjo. 2019 m. įmonių ir gyventojų mokėjimo operacijų, atliktų tarpininkaujant Lietuvos mokėjimų paslaugų teikėjams, skaičius padidėjo 14,6 proc., o 2017 ir 2018 m. – atitinkamai 10,3 ir 14,2 proc. Lietuvos bankas teigia, kad šis skaičius daugiausia augo dėl aktyvesnio mokėjimo kortelių ir kredito pervedimų naudojimo. 2019 m. vidutiniškai vienam Lietuvos gyventojui teko 233 mokėjimų negrynaisiais pinigais operacijos – 30 operacijų daugiau nei 2018 m.

O plečiantis nuotolinių mokėjimų apimtims, tvarkoma ir vis daugiau asmens duomenų. VDAI atstovų manymu, asmens duomenų tvarkymas teikiant finansines paslaugas – ypač jautri sritis, nes dėl netinkamo asmens duomenų tvarkymo asmuo gali patirti finansinę žalą. Inspekcija, šiemet atlikdama patikrinimus, vertins, ar mokėjimo inicijavimo paslaugas teikiančios organizacijos netvarko perteklinių asmens duomenų, kad būtų kiek galima labiau užtikrintos duomenų subjektų teisės.

Atlikdama planinius patikrinimus ši priežiūros institucija stengiasi susipažinti su realia asmens duomenų tvarkymo veikla, nustatyti kylančias rizikas ir padėti organizacijoms pasitaisyti. Šie tikrinimai aktualūs ne tik kiekvienai patikrintai organizacijai, tačiau ir kitiems sektoriaus atstovams, kurie galės susipažinti su atliktų tikrinimų rezultatais ir, jais remdamiesi, peržiūrėti savo veiklą bei pasitaisyti.

Brangi pamoka

Šiemet VDAI patikrinimų metu pasižiūrės, ko pasimokė finansų įmonės iš svetimų brangiai kainavusių klaidų. Pavyzdžiui, prieš pusantrų metų ji už Bendrojo duomenų apsaugos reglamento pažeidimus UAB "MisterTango" (dabar – "Secure Nordic Payments") skyrė 61 500 eurų administracinę baudą. Inspekcijos nuomone, tai turėjo būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas.

Įvertinus tyrimo metu surinktą informaciją ir pateiktus paaiškinimus, nustatyta, kad tuometė UAB "MisterTango" tvarko (prieina, renka) daugiau asmens duomenų, negu pati nurodo esant būtina mokėtojo inicijuotam mokėjimui įvykdyti. Inspekcijos nuomone, įgyvendinant asmens duomenų kiekio mažinimo principą, turėtų būti renkami tik mokėjimui atlikti būtini tokie duomenys kaip mokėtojo vardas, pavardė, jei mokėtojas pageidauja, jo identifikavimo kodas, banko sąskaitos numeris, valiuta ir likutis, mokėjimo paskirtis / įmokos kodas.

Tačiau, be šių duomenų, įmonė rinko ir tokius pertekliniais laikytinus duomenis, kaip, pavyzdžiui, neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai ir sumos; neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto; turimų paskolų paskirtys, pobūdžiai, sumos; pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos; kredito tipai (pavyzdžiui, būsto), mokėtini likučiai, kitų mokėjimų sumos ir datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos. Be to, nustatyta, kad įmonė duomenis saugo ilgiau, negu pati yra nustačiusi ir nurodo esant reikalinga.

Tarp kitko, 2019 m. spalio pabaigoje tuometė "MisterTango" sulaukė ir Lietuvos banko sankcijų. Už šiurkščius pinigų plovimo ir teroristų finansavimo prevencijos reikalavimų pažeidimus jai buvo skirta bauda ir nurodyta neteikti mokėjimo paslaugų tam tikroms klientų grupėms. Tačiau pernai kovą, atsižvelgdama į tai, kad įstaiga ėmėsi veiksmų ir pašalino daugumą inspektavimo metu nustatytų pažeidimų ir trūkumų, aktyviai šalina likusius trūkumus, Lietuvos banko Priežiūros tarnyba nusprendė atšaukti apribojimus, tačiau atidžiai stebės UAB "Secure Nordic Payments" prisiimamą riziką ir taikomų pinigų plovimo ir teroristų finansavimo prevencijos priemonių efektyvumą.