Общий регламент по защите данных (GDPR)
Что такое GDPR и как он нас защищает?
GDPR (Общий регламент по защите данных, Регламент ЕС 2016/679) — это европейский нормативный акт, регулирующий обработку персональных данных физических лиц в пределах Европейской экономической зоны. Он вступил в силу 25 мая 2018 года и заменил Директиву 95/46/CE. В Испании его дополняет и адаптирует к национальному праву Органический закон 3/2018 (LOPDGDD).
Для любой организации, участвующей в цепочке платежей, GDPR определяет, какие данные можно собирать на этапе checkout, как долго их можно хранить и на каком правовом основании можно обрабатывать данные держателя карты.
Как работает Общий регламент по защите данных (GDPR) в цепочке эквайринга
В модели PayFac (платёжный фасилитатор) несколько участников одновременно обрабатывают персональные данные. GDPR распределяет между ними разные роли и обязанности:
- Контролёр данных: организация, определяющая цели и средства обработки. PayFac выступает контролёром в отношении данных своих субмерчантов (KYB/KYC) и обработчиком в отдельных транзакционных потоках.
- Обработчик данных: регулируемый эквайер, который обрабатывает данные от имени контролёра и соединяет PayFac с карточными схемами.
- Субъект данных: держатель карты, чьи данные (имя, токенизированный PAN, IP‑адрес, данные аутентификации 3DS) проходят через всю цепочку.
Каждый участник обрабатывает только те данные, которые строго необходимы для выполнения операции, в соответствии с принципом минимизации (статья 5.1.c GDPR).
Статья 94 PSD2 и статья 65 Королевского декрета‑закона 19/2018 требуют, чтобы любая обработка данных в платёжных услугах подчинялась GDPR, за исключением данных, необходимых для предотвращения мошенничества — они могут обрабатываться без согласия субъекта.
Нормативное влияние и применимые меры безопасности
GDPR не действует изолированно в платёжной экосистеме. Он пересекается с другими нормами, которые PayFac или платёжная организация обязаны соблюдать одновременно:
| Нормативный акт | Область | Связь с GDPR |
|---|---|---|
| PSD2 (Директива 2015/2366) | Платёжные услуги и SCA | Статья 94 напрямую отсылает к GDPR для обработки данных |
| PCI DSS v4.0 | Защита данных карты | Дополняет техническую защиту PAN и чувствительных данных |
| LOPDGDD (LO 3/2018) | Национальная адаптация | Развивает цифровые права и требования к DPO в Испании |
| Закон 10/2010 (AML/CFT) | Борьба с отмыванием денег | Разрешает обработку данных без согласия для AML‑обязанностей, в соответствии со статьёй 6.1.c GDPR |
Штрафы за нарушение достигают 20 000 000 € или 4% мирового годового оборота — применяется большее значение.
Преимущества и недостатки RGPD
Преимущества:
- Рост доверия покупателей. Прозрачность в checkout снижает уровень отказов. 87 % потребителей не совершают покупку, если сомневаются в безопасности сайта.
- Приватность на платёжной странице. Минимизация собираемых данных уменьшает зону действия PCI DSS и снижает поверхность атаки.
- Правовая база для антифрода. Статья 6.1.f GDPR и исключение статьи 94 PSD2 позволяют применять антифрод‑скоринг без явного согласия.
Недостатки:
- Сложность договорных отношений. Каждая связь PayFac‑эквайер‑субмерчант требует договора обработки данных с положениями о нарушениях и аудите.
- Права субъекта данных. Пользователь может требовать доступ, исправление, удаление, ограничение, переносимость и возражение — срок ответа до 30 дней.
- Уведомление о нарушениях в течение 72 часов. Любой инцидент требует уведомления AEPD, что требует отлаженных процедур реагирования.
Был ли этот термин полезным?
Оставить комментарий