Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Анализи и тенденции
бр. 3, 2018

Противоречат ли си GDPR и PSD2, или са двете страни на една монета

от , 29 март 2018 0 10002 прочитания,

Виргиния Стаматова

Напълно противоречащи си изисквания от гледна точка на финансовата индустрия въвеждат две от регулациите, които влизат в сила през тази година - Общият регламент за защита на личните данни (GDPR) и Втората директива за платежните услуги (PSD2) на ЕС. Докато GDPRналага рестрикции, задължавайки компаниите да полагат повече усилия за защита на личните данни и да унищожават ненужните такива,PSD2 се опитва да преодолее историческите граници на един от най-консервативните сектори - финансовия. С въвеждането на концепцията за "отворените данни" и споделянето на информацията на потребителя регулацията цели по-добри финансови продукти и услуги на базата на ИТ.



Наистина ли GDPR и PSD2 си противоречат до степен на несъвместимост? Или по-скоро се допълват в изграждането на надеждна сигурност, защита на данните и промяна в досегашния начин на мислене по посока на един по-гъвкав и насочен към клиентите финансов сектор?

Безпрецедентната промяна

С приетата в края на 2015 PSD2 започва обратното броене до коренната трансформация на банковия сектор от такъв, какъвто го познаваме, до изцяло дигитален. В зависимост от това как банките ще решат да отговорят на предвиденото в регулацията тя може да се превърне в катализатор на развитието на нови ценни бизнес модели или в заплаха, която ще доведе до сериозна конкуренция в сектора. Според новия модел на "отвореното банкиране" финансовите институции трябва да дадат достъп до системите си на независимите доставчици и да им позволят да предлагат иновативни платежни услуги или информация за сметки.

PSD2 съвсем не е единствената регулация, която влиза в сила през 2018 - за разлика от отворения й подход ЕС въвежда и ново законодателство в областта на защитата на личните данни. Целта на GDPR е да унифицира и засили правилата за опазване на персоналното пространство чрез нови концепции, даващи по-голям контрол на европейците върху данните им онлайн, като "правото да бъдеш забравен".

За традиционните финансови институции, които се опитват да постигнат съответствие с регулациите въпреки остаряващите си основни системи, наслагването на различни изисквания е голямо предизвикателство.

Според проучвания във Великобритания, един от най-развитите пазари на финансови услуги, съответствието с PSD2, което ще доведе до значителна конкуренция в банкирането на дребно, ще струва на институциите около 43% от приходите им в средносрочна перспектива, до 2020-а.

Изследователската компания Accenture в свой доклад подчертава, че основните предизвикателства пред банковия сектор ще са свързани сбезопасността, сигурността и опазването на личната информация на клиентите онлайн. Най-вече заради предвиденото максимално наказание по GDPR в размер на 4 процента от глобалния оборот, но не повече от 20 млн. евро, компаниите от финансовия сектор ще трябва да се погрижат и да подсигурят новия жизнен цикъл на данните, който се изисква от тях.

Правата на потребителя

Освен особено неприятните и противоречиви за банковия сектор предвиждания на двете регулации важно е да се подчертае, че между тях има и единство, и то трябва да се търси по посока на подобрените потребителски права. Погледната от хоризонта на потребителите, PSD2 ще им позволи да ползват повече иновативни финансови услуги на по-ниски цени, а GDPR ще им гарантира по-голям контрол върху предоставената лична информация. Клиентите ще имат право да изискат данните си и да ги предоставят на друг доставчик на услуги. Не на последно място, компаниите са задължени да докладват на регулатора течовете на данни, които могат да засегнат физическите лица, а в някои случаи - и на самите засегнати. Обработката на лични данни ще става с информирано съгласие, дадено изрично и доброволно от страна на притежателя им. А фирмите ще трябва да докажат, че разполагат със съгласие, ако обработват данни под това условие (други възможности са договор между страните или законово основание, ако фирмата, да речем, е работодател и трябва да съхранява личните данни). Предварително маркирана кутийка не се счита за съгласие.

Изискванията на PSD2 са по-малко ясни. Техническите стандарти на регулатора (Regulatory Technical Standards, RTS) са в процес на одобрение, но много страни, сред които и нашата, подготвят национални стандарти за въвеждане на PSD2.

Подходът на "отвореното банкиране" трябва да се въведе в законодателството на страните от ЕС до края на януари 2018, а до края на септември 2019 е нужно да се постигне пълно техническо съответствие, което крие риск от частично неизпълнение на регулацията и объркване на потребителите. У нас Проектозаконът за платежните услуги и платежните системи е между първо и второ четене в Народното събрание. В ход е и подготовката на Национални стандарти за въвеждане на PSD2.

Предстои да се определи как ще стават идентификацията и определянето на това какви действия е извършил клиентът със своите авоари. В момента се практикува "сканиране на екрана" (Screen scrapping), коментира Григор Сарийски от Института за икономически изследвания към БАН, но за целта клиентът трябва да дадде изрично съгласие по GDPR, където се казва, че съгласието не може да е по подразбиране.Регламентът за личните данни не приема, че щом клиент е приел да работи с дадена банка, тя може да сваля данните от екрана му.

Според Иван Велков, мениджър развитие продукти и услуги на БОРИКА, "сканирането на екрана" във вида, в който се използва, е отхвърлено от техническите изисквания (RTS) към PSD2. "Може да се каже, че клиентът доброволно си е дал потребителското имe и паролата, но той не знае, че дава достъп до целия екран, на който обикновено има повече информация, отколкото е необходима, за да се извърши операцията", пояснява Велков. "Коментарите на нашия регулатор са, че до влизане в сила на GDPR може да се сканира екранът, а след това ще се търси вариант", уточнява Григор Сарийски.

Парадоксът нa клиентското изживяване

Клиентите винаги имат право, но добре е да не забравят, че носят и отговорности, коментира Иван Станчин, старши мениджър "Информационна сигурност и управление на кризи" в Уникредит Булбанк. "Ако всички закони защитават правата на клиента, но не изискват от него носене на отговорност, тя се прехвърля към всеки търговец, който предлага услуга. По този начин много компании могат да отнесат тежки последствия от това, че правят бизнес", категоричен е Станчин. "Ние не очакваме нашият потребител да има познания по информационна сигурност, допълва той, но искаме да създадем среда, в която той да може да работи сигурно, като спазва малки изисквания - там, където се забавлява, да не прави бизнес."

Допирни точки

Макар че дискусията около новите европейски регулации е изтеглена главно към сигурността, организациите не могат да пренебрегнат един от най-важните въпроси - заличаването на данните, особено ако те се намират на оборудване, което има определен живот. С нарастването на новите услуги и продукти, които според PSD2 ще се ползват чрез програмни интерфейси (APIs), неминуемо ще се стигне до подмяна на информационни системи. За да се отговори на изискванията на GDRP, ще бъде важно да се гарантира, че данните са премахнати, а това безспорно ще изисква проверка.

Възможно е банките да наемат подизпълнител, който да изтрие и да направи одит на системите, които се бракуват, че не съдържат лични данни, но GDPR предвижда и двете организации - обработващата данните и наетия от нея оператор, да спазват изискванията - в конкретния случай да са налице доказателства, че данните са заличени. Споразумението между банката възложител и подизпълнителя й трябва да покрива всички сфери, предвидени в законодателството, в това число унищожаването на данните да е документирано, например с видео.

Унищожаването може да се извърши и със собствени сили, като се използват решения, които съдържат неоспоримо доказателство за това. С помощта на машина за раздробяване на твърдия диск финансовата институция може да гарантира, че ненужното оборудване не съдържа лични данни. Процесът може да се застрахова допълнително със снимки, съдържащи серийния номер на унищоженото устройство, или видеозапис.

2018 и несигурността, която носи

Финансовите пазари са изправени пред безпрецедентна промяна през тази година и тя ще трансформира правата на потребителите, изисквайки нови нива на корпоративна отчетност. Докато PSD2 отваря вратата за повече конкуренция в света на банкирането към крайни клиенти и би трябвало да доведе до по-ниски цени и повече иновативни услуги, доставяни от гъвкави API-та, които достигат до потребителите с полезни за тях предложения, GDPR задава нов подход към защитата на личните данни.

Последното проучване на ICO установи, че 75% от пълнолетните във Великобритания не се доверяват на бизнеса с личните си данни. PSD2 и GDPR всъщност имат много общи неща и се връщат към предоставянето на по-добри услуги, които дават приоритет на поверителността на потребителите, подход, който по някакъв начин ще възстанови доверието на потребителите - доверие, което има осезаема търговска стойност.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов