Ochrona prywatności: dane klientów instytucji finansowych a wymogi legislacyjne i nowe technologie
W świetle postępu technologicznego, zmian regulacyjnych, takich jak choćby wprowadzenie ogólnego rozporządzenia o ochronie danych (RODO), ale także pandemii, która sprawiła, że wzrosła nasza aktywność w Internecie, kwestia prywatności staje się coraz bardziej złożonym i ważnym zagadnieniem.
Problem ten dotyczy między innymi instytucji finansowych, dla których dane klientów są kluczowym zasobem.
Celem raportu Deloitte jest wskazanie instytucjom finansowym, w jaki sposób mogą przygotować się na nadchodzące zmiany, zachowując zgodność z istniejącymi regulacjami, a także jak wykorzystywać nowe źródła danych oraz różne innowacje z korzyścią zarówno dla klientów, jak i dla samych instytucji.
Utrata kontroli nad danymi
Jak zauważają eksperci Deloitte, dobrym przykładem obrazującym jak technologia wpływa na utratę kontroli nad danymi są media społecznościowe. Ponad 90 proc. użytkowników uważa, że technologie odebrały im kontrolę nad tym, kto i w jaki sposób przetwarza informacje na ich temat.
Wcześniejsze badanie Deloitte pokazało, że jedynie 15 proc. ankietowanych wyraziło chęć podzielenia się z dostawcami usług swoją aktywnością w zakresie przeglądania stron internetowych i tylko 12 proc. – informacjami, jakie publikują w social mediach.
– Oprócz istniejącego od dawna obowiązku instytucji finansowych do zachowania danych klientów w tajemnicy, wprowadzenie regulacji dotyczących ochrony danych osobowych, czyli RODO jeszcze zaostrzyło tę dyskusję.
Jeśli jednak instytucje finansowe w pełni ujawnią źródło danych i powód ich gromadzenia, być może uda się zmniejszyć obawy, a także ograniczyć zakres przekazywanych danych tylko do tych, które są niezbędne do realizacji konkretnej usługi.
Na popularności zyskują także koncepcje self-soverign identity, które zakładają, że zakres ujawnianych przez użytkownika danych, np. do dokonania transakcji finansowej, nie zawsze musi być tak obszerny, jak wymaga się obecnie – mówi Mateusz Ordyk, Radca prawny, Partner w Deloitte Legal.
Czytaj także: Czy kancelaria reprezentująca klienta może być też administratorem danych? ‒ projekt wytycznych EDPB
Różne wymiary prywatności
Eksperci Deloitte zidentyfikowali 8 typów informacji, które o swoich klientach gromadzą instytucje finansowe. Klasyfikacja ta pokazuje, jak wiele wymiarów ma w dzisiejszych czasach prywatność.
Zwraca też uwagę na to, jak ważne jest, aby liderzy instytucji myśleli szerzej o gromadzeniu, przechowywaniu, przetwarzaniu oraz ochronie posiadanych przez nich danych.
Do najważniejszych rodzajów prywatności w branży usług finansowych eksperci Deloitte zaliczyli:
tradycyjne identyfikatory (wszelkie standardowe dane osobowe, takie jak imię i nazwisko, adres, data urodzenia itp.),
zachowania i działania (np. zakupy, transakcje finansowe, zwyczaje związane z przeglądaniem stron internetowych oraz inne),
myśli i odczucia (opinie klientów na różne tematy, w tym te dotyczące firm czy marek), obrazy (zdjęcia zrobione przez osoby fizyczne, samoloty, drony itd.),
dane biometryczne (np. rysy twarzy),
komunikację (porozumiewanie się między klientem a instytucją finansową za pośrednictwem poczty e-mail, mediów społecznościowych czy też telefonu),
dane lokalizacyjne (informacje o geolokalizacji danej osoby lub rzeczy)
oraz przynależność do grup społecznych (społeczności, do których należy osoba fizyczna, wskazujące na poglądy polityczne, hobby czy poglądy religijne).
– W wielu przypadkach klienci mają świadomość, że ich dane osobowe są gromadzone. Jest tak na przykład w sytuacji, gdy właściciel pojazdu zgadza się na monitorowanie jego jazdy w zamian za obniżenie składki na ubezpieczenie samochodu.
Natomiast niektóre rodzaje bezpośredniego zbierania danych oraz sposób ich wykorzystywania mogą już nie być dla nich tak oczywiste.
Dzieje się tak po części dlatego, że standardowe polityki prywatności są dość długie, często posługują się trudnym do zrozumienia językiem, bądź po prostu nie opisują dokładnie do czego dane są używane – mówi Ewelina Witek, adwokat, CIPP/E, CIPM, Senior Managing Associate w Deloitte Legal.
Koszt rozwoju technologicznego
Autorzy raportu przewidują, że w ciągu najbliższych kilku lat instytucje finansowe będą w coraz większym stopniu wykorzystywać nowe technologie do obsługi konsumenckiej.
Wirtualni asystenci, drony czy też czujniki przekazujące informacje o klientach (np. urządzenia wearables) to tylko niektóre z nich.
Sposób oddziaływania wykorzystywanych rozwiązań na prywatność różnił się będzie w zależności od zastosowanych rozwiązań.
Głównym wyzwaniem sektora finansowego jest natomiast optymalizacja wykorzystania danych przy jednoczesnym zapewnieniu zgodności z obowiązującymi przepisami.
– Instytucje finansowe zdają sobie doskonale sprawę, że dane, które posiadają są jednym z największych kapitałów. Ich połączenie z informacjami z mediów społecznościowych, geolokalizacji czy zachowań zakupowych pozwala na lepsze profilowanie klienta pod kątem jego potrzeb, preferencji czy wiarygodności kredytowej.
Można znacznie poprawić sposób wykorzystanie tych informacji przez banki, ale jednym z największych wyzwań pozostaje wciąż ochrona prywatności i danych – mówi Przemysław Szczygielski, Partner, Lider zarządzania ryzykiem oraz doradztwa regulacyjnego dla sektora finansowego Deloitte w Polsce.
Czytaj także: TSUE, RODO, Facebook, ochrona danych osobowych i duży problem w relacjach USA – UE
Niektóre technologie stanowią większe zagrożenie dla prywatności niż inne. Aby określić prawdopodobieństwo naruszenia ochrony danych eksperci Deloitte przeanalizowali osiem obszarów, w których występują największe zagrożenia.
Ich poziom różni się w zależności od rodzaju zastosowanego narzędzia.
Badania pokazują, że najwięcej zastrzeżeń budzą technologie służące do monitorowania aktywności użytkowników w Internecie (przeglądanie stron internetowych, wiadomości e-mail, komunikatorów internetowych) oraz w mediach społecznościowych.
Narzędzia te mają największy potencjał do ingerencji w prywatność użytkowników. W sferę prywatną jednostki w znaczącym stopniu wkraczają także wearables (ubrania i akcesoria elektroniczne lub zaawansowane technologie elektroniczne), drony i wirtualni asystenci.
Co ciekawe, wyniki analiz wskazują, że narzędziami o najmniejszym potencjale naruszenia prywatności są technologie biometryczne.
– Koszt ponoszą nie tylko konsumenci, ale również instytucje finansowe. Te z nich, które nie posiadają odpowiedniej strategii, polityk oraz narzędzi pozwalających na zarządzanie danymi oraz ocenę zagrożeń dla prywatności, mogą stanowić spory problem dla samych siebie.
Potencjalną pułapką może być na przykład podejmowanie przez nie decyzji dotyczących klientów na podstawie danych uzyskanych od stron trzecich, np. brokerów danych – mówi Ewelina Witek.
Prywatność z innej perspektywy
Czy istniejące polityki ochrony danych są wystarczające dla zapewnienia prywatności w dobie szybko rozwijających się technologii? Podczas analizy losowo wybranych 12 z największych podmiotów w sektorze usług finansowych okazało się, że ich polityki są skonstruowane tak, aby jedynie dopełnić obowiązujących wymogów prawnych.
Zdaniem ekspertów Deloitte, aby poprawić poziom zaufania konsumentów, instytucje finansowe powinny na nowo przemyśleć swoje podejście do prywatności, przyjmując bardziej proaktywną i strategiczną perspektywę.
Konieczne jest spojrzenie na prywatność z szerszej perspektywy, uwzględniając różne jej formy, stosowane technologie oraz dokonując przeglądu istniejących polityk.
Należałoby ponadto chronić dane konsumentów, stosując najnowocześniejsze rozwiązania cyfrowe, jednocześnie poszukując rozwiązań korzystnych zarówno dla instytucji finansowych, jak i dla klientów.
Czytaj także: UKNF: ważne jest bezpieczeństwo rynku i jego nowoczesność
Na koniec osoby odpowiedzialne za ochronę danych w instytucjach finansowych muszą otrzymać uprawnienia do tworzenia nowych strategii zarządzania danymi.
– Przemyślana strategia pozwoli instytucjom finansowym nie tylko przygotować się na zachodzące zmiany w zgodzie z istniejącymi regulacjami, ale też zbudować zaufanie wśród klientów.
Miejsce szablonowych przekazów powinna zająć jasna komunikacja na temat tego, jak podmioty świadczące usługi finansowe chronią dane swoich klientów – mówi Agata Jankowska-Galińska, Radca prawny, Senior Managing Associate w Deloitte Legal.
Pełny raport do pobrania dostępny jest tutaj.