Avrupa Finansal Araç Piyasaları Direktifi (MiFID) ve Genel Veri Koruma Yönetmeliği (GDPR), Avrupa piyasalarını uyumlu hale getirmek için tasarlanmış iki girişimdir. Ancak, iki girişim farklı yönlere çekiyor olabilir mi?
MiFID - veya en son haliyle - MiFID II, AB üyesi olmayan üç ülke, Norveç, İzlanda ve Lihtenştayn dahil olmak üzere Avrupa Ekonomik Alanı’nın 31 eyaletinde bulunan çeşitli yatırım şirketlerini uyumlu hale getirmeyi amaçlayan bir Avrupa direktifidir. Orijinal plan, oyun alanını düzleştirmek ve finansal piyasaları bu piyasalara güç veren son kullanıcılar için daha adil hale getirmekti.
GDPR, tamamen ve tamamen tüketici verilerinin adil kullanımıyla ilgili olan bir başka Avrupa fermanıdır. Motivasyonu, finansal ve kişisel verilerin kontrolünü, bu verilere sahip olan kişilerin eline geri vermektir. Hangi verilerin toplandığı, bu verilerin kime ait olduğu, bunlara kimin erişebileceği ve gizlilik ve korumanın nasıl sağlanabileceği ile ilgili sorular ortaya çıkmaktadır.
Son zamanlarda, MiFID2 ve GDPR’nin aslında farklı yönlere çekilebileceğine dair bir endişe var. MiFID daha fazla şeffaflık ve görünürlüğü teşvik ederken, GDPR veri yönetimini daha sıkı bir şekilde kontrol edilir ve izlenir hale getirmeye çalışıyor. Burada açıklık ve mahremiyet arasında bir çatışma var gibi görünüyor. Peki, durum gerçekten böyle mi?
GDPR ile ilgili yanlış anlaşılanlardan biri, müşteri verilerine erişimi kısıtlamaktan çok, yalnızca müşteri bilgilerinin nasıl paylaşılabileceğine ilişkin kurallar ve standartlar oluşturmakla ilgilendiğidir. Direktifin temel amacı, verilerin yalnızca görme hakkına sahip kişi ve kuruluşlar tarafından görülmesini sağlarken güçlü veri güvenliğini sağlamaktır.
Ve MiFID2 ve GDPR kağıttan kaplanlar değildir. Hayır, ısırabilirler. Bir şirketin küresel yıllık gelirinin %4’üne kadar olan olası para cezaları, bu direktifleri görmezden gelmeyi seçenleri bekler.
Bu nedenle, MiFID2 ve GDPR, Avrupa’nın finansal piyasa düzenlemesi planlarının iki ayrı yönüne katılabilirken, bunların aynı madalyonun iki yüzü olduğuna inanmak makul görünüyor. Ve eğer finansal kuruluşlar cezai suçlamalardan kaçınacaklarsa, sıraya girmeleri ve yeni kurallara uymaları gerekecek. Ancak, finansal kurumların yolculuğu biraz daha kolaylaştırmak için atabileceği adımlar var.
İlk olarak, müşterilerinizin bilgilerinin doğru bir şekilde haritalandırılmasını içeren şirketinizin veri planını tanımlamanız gerekir. Veriler quicksilver gibidir, kontrol olmadan her yere ulaşır. Müşteri verileri ve finansal veriler ağ sürücülerinde, sunucularda, harici sabit sürücülerde ve USB sürücülerde son bulur. Sıkı veri kontrolü olmadan, bilgilerin bulunması zor olabilir veya en kötü ihtimalle kaybolabilir. Bankalarda ve aracı kurumlarda kullanılan verilerin elektronik doğası, aktarılmasını ve alınmasını kolaylaştırır, ancak kaybetmek veya yanlış yere göndermek de aynı derecede kolaydır. Bu tür veri yönetimi zorluklarına yönelik mevcut çözüm, müşterilere güvenli web sunucuları aracılığıyla verilerine erişim sağlamaktır. Müşterilere, ihtiyaç duyduklarında elde ettikleri verilere parola kontrollü erişim sağlanır.
Daha sonra, finansal kuruluşlar, işler ters gittiğinde bu durumları yönetmek için prosedürler uygulamalıdır. Bu, çalışanların dizüstü bilgisayarlarda eve veri götürmesinden, bir şirketin sunucularına veya ağlarına yönelik siber saldırıları içeren olaylara kadar, insan hatası ve kötü yönetimle ilişkili olaylar olabilir. Müşteriler, varlıklarını emanet ettikleri şirketlerin bir kriz sırasında ne yapacaklarını bildiklerine güvenilebileceğinden emin olmalıdır.
Son olarak, finans kurumları, personelini şirket içinden ve dışından veri güvenliği sorunları konusunda bilinçlendirerek eğitmelidir. Bu eğitimin başarısının anahtarı, görevi şirketin Avrupa uyum kurallarına uyduğundan emin olmak ve herhangi bir sapmayı üst yönetime bildirmek olan deneyimli ve sorumlu bir Veri Koruma Görevlisinin (DPO) atanmasıdır. DPO, finansal veri teknolojisi konusunda yüksek düzeyde eğitimli ve güncel olmanın yanı sıra, şirketin kriz azaltma planını sürdüren başvurulacak kişi olmalıdır.
MiFID2 Temmuz 2014’te yürürlüğe girdi ve GDPR 25 Mayıs 2018’de yürürlüğe girecek. İki direktif, Avrupalı yatırımcıların uluslararası finans piyasalarında işlem yaparken adil bir şekilde muamele görmesini sağlayacaktır. Ve bu etkinliği desteklemek için finansal ve kişisel bilgilerinin kullanılabilir ve güvende olduğundan da emin olabilirler.
