Европейская директива о рынках финансовых инструментов (MiFID) и Общий регламент по защите данных (GDPR) — это две инициативы, направленные на сближение европейских рынков. Но могут ли эти две инициативы тянуть в разных направлениях?
MiFID – или в его последней форме – MiFID II – это европейская директива, предназначенная для гармонизации различных инвестиционных компаний, существующих в 31 государстве Европейской экономической зоны, включая три государства, не входящие в ЕС, Норвегию, Исландию и Лихтенштейн. Первоначальный план состоял в том, чтобы выровнять игровую площадку, сделав финансовые рынки более справедливыми для конечных пользователей, которые питают эти рынки.
GDPR — это еще один европейский указ, который целиком и полностью касается добросовестного использования данных потребителей. Его мотивация заключается в том, чтобы вернуть контроль над финансовыми и персональными данными в руки лиц, которые владеют этими данными. Возникают вопросы о том, какие данные собираются, кому они принадлежат, кто будет иметь к ним доступ и как можно обеспечить конфиденциальность и защиту.
В последнее время высказываются опасения, что MiFID2 и GDPR могут на самом деле тянуть в разных направлениях. В то время как MiFID способствует большей прозрачности и прозрачности, GDPR пытается сделать управление данными более жестко контролируемым и отслеживаемым. Кажется, что здесь играет роль конфликт между открытостью и конфиденциальностью. Так ли это на самом деле?
Одно из недоразумений в отношении GDPR заключается в том, что он не только не ограничивает доступ к данным клиентов, но и заинтересован только в установлении правил и стандартов о том, как можно обмениваться информацией о клиентах. Основной целью директивы является обеспечение надежной безопасности данных, при этом обеспечение того, чтобы данные видели только те лица и организации, которые имеют на это право.
И MiFID2 и GDPR — это не бумажные тигры. Нет, они могут укусить. Потенциальные штрафы в размере до 4% от глобальной годовой выручки компании ждут тех, кто решит проигнорировать эти директивы.
Таким образом, в то время как MiFID2 и GDPR могут затрагивать два отдельных аспекта планов Европы по регулированию финансового рынка, кажется разумным полагать, что это две стороны одной медали. И если финансовые организации собираются избежать штрафных санкций, им придется встать на ноги и следовать новым правилам. Тем не менее, есть шаги, которые финансовые учреждения могут предпринять, чтобы сделать этот путь немного проще.
Во-первых, вы должны определить план данных вашей компании, который включает в себя точное отображение информации о ваших клиентах. Данные похожи на ртуть — без контроля они просто проникают куда угодно. Данные о клиентах и финансовые данные попадают на сетевые диски, серверы, внешние жесткие диски и USB-накопители. Без жесткого контроля над данными информацию может быть трудно найти или, в худшем случае, она может быть утеряна. Электронный характер данных, используемых в банках и брокерских домах, позволяет легко передавать и получать, но столь же легко их потерять, или отправить не туда, куда нужно. В настоящее время решение таких задач управления данными заключается в предоставлении клиентам доступа к их данным через защищенные веб-серверы. Клиентам предоставляется доступ к своим данным, контролируемый паролем, который они получают по мере необходимости.
Далее, финансовые организации должны внедрить процедуры для управления теми случаями, когда что-то идет не так. Это могут быть события, связанные с человеческими ошибками и бесхозяйственностью – от того, что сотрудники забирают данные домой на ноутбуках, до событий, связанных с кибератаками на серверы или сети компании. Клиенты должны быть уверены в том, что компаниям, которым они доверили свои активы, можно доверять в том, что они знают, что делать во время кризиса.
Наконец, финансовые учреждения должны обучать своих сотрудников, информируя их о проблемах безопасности данных, как внутри компании, так и за ее пределами. Ключом к успеху этого тренинга является назначение опытного и ответственного сотрудника по защите данных (DPO), чья работа заключается в том, чтобы следить за тем, чтобы компания соблюдала европейские правила соответствия, и сообщать о любых отклонениях высшему руководству. DPO должен быть хорошо обучен и в курсе технологий финансовых данных, а также быть человеком, который поддерживает план компании по смягчению последствий кризиса.
MiFID2 вступил в силу в июле 2014 года, а GDPR вступит в силу 25 мая 2018 года. Эти две директивы гарантируют, что к европейским инвесторам будет справедливое отношение при торговле на международных финансовых рынках. И чтобы подкрепить эту деятельность, они также могут быть уверены в том, что их финансовая и личная информация доступна и защищена.
