تفاوت‌های دستورالعمل خدمات پرداخت و مقررات عمومی حفاظت از داده

به گزارش پایگاه خبری بانکداری الکترونیک، بانک‌ها، مؤسسات مالی یا فین‌تک‌هایی که در پایان هر روز به حسابرسی می‌پردازند ترجیح می‌دهند بر همه تراکنش‌های مالی امنیت حاکم باشند. مالکیت تراکنش باید دقیق باشد و شفافیت میزان مدیریت و نظارت را تقویت کند. این روند به بانک اجازه می‌دهد تا بر توانایی‌های اصلی تجارت متمرکز شود و برای مشتری ایجاد رضایت کند؛ اما پیروی از قوانین نظارت بر کلاهبرداری‌های مالی تنها به دلیل مقررات عمومی حفاظت از داده نیست و عاملی مهم در بانکداری محسوب می‌شود.

دستورالعمل خدمات پرداخت و مقررات عمومی حفاظت از داده

در همین راستا، دستورالعمل مربوط به خدمات پرداخت (PSD2) و مقررات عمومی حفاظت از داده (GDPR) هر دو در سال 2018 به عنوان مجموعه‌ای جامع از قوانین متمرکز بر داده‌های مصرف‌کننده معرفی شدند. با وجود شباهت‌هایی که آیین‌نامه‌ها دارند؛ اما از دیدگاه‌های مختلفی تدوین شده‌اند.

قانون PSD2 قصد دارد تا از طریق دسترسی به داده‌های شخصی وارد داده‌های مالی مصرف‌کنندگان ـ یا کاربران خدمات پرداخت (PSUs) ـ شود و به اشخاص ثالث امکان ورود به بازار پرداخت، ارائة اطلاعات جدید حساب و خدمات آغاز پرداخت را بدهد. این خدمات توسط ارائه‌دهندگان خدمات اطلاعات حساب (AISPs) و ارائه‌دهندگان خدمات شروع پرداخت (PISPs) فراهم می‌شوند.

در مقابل مقررات GDPR قصد دارد تا با محافظت از داده‌های شخصی این امکان را برای مصرف‌کنندگان فراهم کند که به راحتی بتوانند استفاده از اطلاعات خود را ردیابی کنند؛ البته این طرح اعتراضاتی را به همراه داشت.

در حالی که PSD2 بازار بانکی ایجاد می‌کند و رقابت و نوآوری را در محصولات و خدمات مختلف ترغیب می‌کند؛ اما هرگونه دسترسی به محصولات و خدمات مربوط به داده‌های شخصی باید مطابق با مقررات GDPR باشد. عدم رعایت این موضوع جریمه‌های سنگینی را به همراه دارد و به اعتبار مؤسسه خسارت چشمگیری وارد می‌کند. تاکنون اکثر بانک‌های سنتی محافظت از داده‌های مصرف‌کننده را در اولویت بالاتری نسبت به برنامه‌های اصلی نوآوری می‌دانستند؛ اما اکنون که بازیگران جدید بیشتری وارد بازار آزاد شدند، آنها تنها می‌توانند میان انطباق صرف با قوانین یا استفاده از فرصت‌های PSD2 برای ایجاد مزیت رقابتی یکی را انتخاب کنند.

رضایت مشتری، رکن اصلی

به‌رغم اهداف متفاوت GDPR و PSD2، اجرای هر دو به رضایت مصرف‌کننده بستگی دارند.

در مقررات GDPR تصریح شده است که مؤسسات مالی نمی‌توانند داده‌های مصرف‌کننده را بدون رضایت او پردازش کنند و رضایت او نیز باید تحت شرایط خاص گرفته شود. در مقابل با وجود اینکه که PSD2 نیز اعلام می‌کند که «رضایت صریح» برای ارائۀ خدمات به مصرف‌کنندگان ضروری است؛ اما این مفهوم تعریف نشده است و نمی‌توان نتیجه‌گیری کرد که مشابه شرایط GDPR است. این عدم شفافیت در مورد رضایت مصرف‌کننده، عوامل خدمات پرداخت را با مشکل روبه‌رو کرده است؛ زیرا آنها سعی دارند از هر دو دستورالعمل تبعیت کنند. جدول زیر تفاوت‌های کلیدی را به طور خلاصه نشان می‌دهد.

نکات کلیدی در اجرای قوانین

مؤسسات مالی نباید اجازه دهند قانون GDPR مانع نوآوری پیشنهادی مقررات PSD2 شود؛ بلکه باید طوری عمل کنند كه خدمات و محصولات جدید با هر دو قانون سازگار باشند. نکات کلیدی عملکرد آینده می‌تواند شامل موارد زیر باشد:

*مراقب تصمیمات خودکار باشید. قانون GDPR ضبط و تجزیه و تحلیل ویژگی‌های روانشناختی و رفتاری فرد را ممنوع می‌داند. بانک‌ها به طور فزاینده‌ای از اتوماسیون برای ارائه خدمات با ارزش افزوده مانند امتیازدهی به اعتبار و ارزیابی هزینه از سیستم اتوماسیون استفاده می‌کنند؛ اما تصمیمات مهم‌تر از جمله امتناع از وام دادن، تنها با پردازش خودکار داده‌های شخصی امکان‌پذیر است؛ مثلاً می‌توان رضایت صریح مصرف‌کننده را گرفت یا قراردادی با او بست تا وی تعهد قانونی دهد. علاوه بر این، تحت قانون GDPR، مؤسسات مالی باید در صورت درخواست مصرف‌کننده قادر باشند هرگونه حرکت مربوط به اتوماسیون را توجیه کنند.

*ارزیابی تأثیر حفاظت از داده‌ها را انجام دهید. ماهیت ارائه‌دهندگان خدمات اطلاعات حساب و ارائه‌دهندگان خدمات شروع پرداخت طوری است که نیاز دارد تا حجم بالایی از داده‌های شخصی پردازش شوند و ارزیابی تأثیر حفاظت از داده‌ها ضروری است؛ البته ارزیابی‌ها باید قبل از پردازش داده‌های مالی صورت گیرد و برای درک ریسک پردازش داده‌ها و تعریف اقدامات کاهش‌دهنده به کار گرفته شوند.

*حفاظت از داده‌ها را در سرویس‌های جدید طراحی کنید. ارائه‌دهندگان خدمات اطلاعات حساب و ارائه‌دهندگان خدمات شروع پرداخت باید در طراحی و اصول پیش فرض به حفاظت از داده‌ها پایبند باشند. این اصول ارائه‌دهندگان خدمات را ملزم می‌کند تا پیش از ارائه دربارة تأثیر سرویس‌های خود در حفاظت از داده‌ها فکر کنند. باید اقدامات مناسبی برای انطباق با GDPR و به حداقل رساندن میزان پردازش داده‌ها انجام شود.

*آماده باشید تا در صورت نیاز، اطلاعات استفاده از داده‌ها را در اختیار مصرف‌کنندگان قرار دهید. مالکان داده‌ها حق دارند، بدانند که آیا اطلاعات آنها در حال پردازش است یا خیر و اگر این‌طور باشد، می‌توانند یک نسخه را دریافت کنند. هنگام طراحی خدمات، ارائه‌دهندگان باید این حقوق را در نظر بگیرند تا در صورت درخواست، اطلاعات مناسب را ارائه دهند؛ اگر درخواست کاربران خدمات پرداخت بی‌اساس یا بیش از حد باشد، ارائه‌دهندگان خدمات اطلاعات حساب و ارائه‌دهندگان خدمات شروع پرداخت می‌توانند هزینة معقولی را دریافت کنند.

*این شرط را تأیید کنید که در صورت درخواست، می‌توانید همه داده‌های مصرف‌کننده را پاک کنید. مصرف‌کنندگان حق دارند از ارائه‌دهنده خدمات بخواهند همه اطلاعات شخصی را به موقع پاک کنند. لغو رضایت برای ارائه‌دهندگان خدمات اطلاعات حساب و ارائه‌دهندگان خدمات شروع پرداخت، اهمیت ویژه‌ای دارد. هنگام طراحی خدمات ارائه‌دهندگان باید این حقوق را در نظر بگیرند تا در صورت درخواست بتوانند داده‌های شخصی را حذف کنند.

قوانین امنیتی، پلی به سوی فرصت‌های نو

قانون PSD2 در نظر دارد فرصت‌های بی‌سابقه‌ای را در بخش پرداخت در اختیار بانک‌ها قرار دهد. قانون GDPR نیز حریم شخصی را هنگام توسعه محصولات یا ایجاد تغییرات مورد توجه قرار می‌دهد؛ اما بانک‌ها می‌توانند با برنامه‌ریزی قوی و تخصص کافی، جلوتر حرکت کنند. هنگامی كه این دو طرح به طور هماهنگ اجرا شوند، بانک‌ها می‌توانند به شکلی بهتر از مصرف‌كنندگان محافظت کنند و در خدمت آنها باشند. آنها همچنین می‌توانند فراتر از سازگاری صرف با قوانین عمل و از فرصت‌های جدید برای رشد استفاده كنند.

منابع: EY – How banks can balance GDPR and PSD2

ماهنامه بانکداری آینده

مترجم: فرزانه اسکندریان