Припомнят се задължения и добри практики във финансовия сектор
На 27 март беше публикувано Съвместно изявление на Financial Conduct Authority (FCA) и Службата на комисаря по информацията (ICO) относно регулаторните очаквания по отношение на подходите на фирмите към данни на уязвими потребители.
FCA е независимият регулатор на финансовите услуги в Обединеното кралство, който надзирава поведението на финансовите институции (банки, застрахователи, инвестиционни посредници, финтех компании и др.); защитава потребителите на финансови услуги; поддържа стабилността и интегритета на финансовите пазари; насърчава конкуренцията в интерес на потребителите.
FCA регулира както фирмите, така и пазарните практики, и има правомощия да издава правила, да провежда разследвания, да налага санкции и да изисква промени в поведението на участниците на пазара.
В изявлението FCA и ICO координират очакванията си, за да покажат, че подкрепата за уязвими потребители и спазването на правилата за защита на данните не са в конфликт, а трябва да вървят ръка за ръка.
В документа пише, че фирмите също така трябва да се уверят, че техните комуникации отговарят на информационните нужди на клиентите, включително като ги адаптират към характеристиките на целевата аудитория. Това може да включва характеристики на уязвимост. Това очакване важи и когато фирмите трябва да съобщават сложна информация, например при спазване на изискванията за разкриване на информация. Фирмите трябва да обмислят какви допълнителни стъпки могат да предприемат, за да подпомогнат разбирането от страна на потребителите, например, като използват cover letters за обяснение на ключова информация.
Когато фирмите проучват начини за споделяне на индивидуални данни за клиентите, включително например чрез услугите „tell us once“, те следва да гарантират, че тези подходи са проектирани и функционират в съответствие с изискванията за защита на данните.
Кодекс за практика за споделяне на данни на ICO казва, че законът за защита на данните е фактор за отговорно споделяне на данни.
Кодексът е практическо ръководство за организациите за това как да споделят лична информация в съответствие със закона за защита на данните. Той обхваща споделянето между организации (включително при предоставяне на достъп до данни на трета страна), независимо дали става дума за рутинно планирано или еднократно споделяне.
При споделяне на лична информация се прилагат принципите за защита на данните, трябва да се вземат предвид и дали споделяната информация може да бъде анонимизирана така че вече не са лични данни и не подлежат на задълженията на GDPR на Обединеното кралство. Анонимизацията не винаги ще бъде подходяща и фирмите трябва да внимават да не объркват псевдонимизацията с анонимизация.
Ако се въведе анонимизация, фирмите трябва да имат законово основание за обработката, необходима за анонимизиране на данните, и да посочат техническите и организационните мерки, които ще прилагат за постигане на ефективна анонимизация, пише в текста на документа.