Ochrona danych osobowych klientów priorytetem instytucji finansowych

Przeczytaj także: Sektor finansowy musi postawić na zarządzanie ryzykiem

Jak wskazują autorzy raportu firmy doradczej Deloitte „Reimagining customer privacy for the digital age. Going beyond compliance in financial services” sektor finansowy powinien na nowo przemyśleć swoje podejście do prywatności. Opracowanie zawiera wskazówki, w jaki sposób instytucje finansowe mogą reagować na zmiany oraz wykorzystywać nowe źródła danych i innowacje tak, aby odbywało się to z korzyścią dla nich samych i ich klientów.

Jak czytamy w komunikacie z raportu, dobrym przykładem na to, jak technologia może wpływać na utratę kontroli nad danymi są media społecznościowe. Przeszło 90 proc. ich użytkowników jest przekonanych, że technologie odebrały im kontrolę nad tym, kto i w jaki sposób przetwarza informacje na ich temat.

Jednocześnie wcześniejsze badanie Deloitte pokazało, że jedynie 15 proc. ankietowanych wyraziło chęć podzielenia się z dostawcami usług swoją aktywnością w zakresie przeglądania stron internetowych i tylko 12 proc. – informacjami, jakie publikują w social mediach.

– Oprócz istniejącego od dawna obowiązku instytucji finansowych do zachowania danych klientów w tajemnicy, wprowadzenie regulacji dotyczących ochrony danych osobowych, czyli RODO jeszcze zaostrzyło tę dyskusję. Jeśli jednak instytucje finansowe w pełni ujawnią źródło danych i powód ich gromadzenia, być może uda się zmniejszyć obawy, a także ograniczyć zakres przekazywanych danych tylko do tych, które są niezbędne do realizacji konkretnej usługi. Na popularności zyskują także koncepcje self-soverign identity, które zakładają, że zakres ujawnianych przez użytkownika danych, np. do dokonania transakcji finansowej nie zawsze musi być tak obszerny jak wymaga się obecnie – mówi Mateusz Ordyk, Radca prawny, Partner w Deloitte Legal.

Różne wymiary prywatności

Eksperci Deloitte zidentyfikowali 8 typów informacji, które o swoich klientach gromadzą instytucje finansowe. Klasyfikacja ta pokazuje, jak wiele wymiarów ma w dzisiejszych czasach prywatność. Zwraca też uwagę na to, jak ważne jest, aby liderzy instytucji myśleli szerzej o gromadzeniu, przechowywaniu, przetwarzaniu oraz ochronie posiadanych przez nich danych.

Do najważniejszych rodzajów prywatności w branży usług finansowych eksperci Deloitte zaliczyli:

1. tradycyjne identyfikatory (wszelkie standardowe dane osobowe, takie jak imię i nazwisko, adres, data urodzenia itp.),
2. zachowania i działania (np. zakupy, transakcje finansowe, zwyczaje związane z przeglądaniem stron internetowych oraz inne),
3. myśli i odczucia (opinie klientów na różne tematy, w tym te dotyczące firm czy marek),
4. obrazy (zdjęcia zrobione przez osoby fizyczne, samoloty, drony itd.),
5. dane biometryczne (np. rysy twarzy),
6. komunikację (porozumiewanie się między klientem a instytucją finansową za pośrednictwem poczty e-mail, mediów społecznościowych czy też telefonu),
7. dane lokalizacyjne (informacje o geolokalizacji danej osoby lub rzeczy) oraz
8. przynależność do grup społecznych (społeczności, do których należy osoba fizyczna, wskazujące na poglądy polityczne, hobby czy poglądy religijne).

– W wielu przypadkach klienci mają świadomość, że ich dane osobowe są gromadzone. Jest tak na przykład w sytuacji, gdy właściciel pojazdu zgadza się na monitorowanie jego jazdy w zamian za obniżenie składki na ubezpieczenie samochodu. Natomiast niektóre rodzaje bezpośredniego zbierania danych oraz sposób ich wykorzystywania mogą już nie być dla nich tak oczywiste. Dzieje się tak po części dlatego, że standardowe polityki prywatności są dość długie, często posługują się trudnym do zrozumienia językiem, bądź po prostu nie opisują dokładnie do czego dane są używane – mówi Ewelina Witek, adwokat, CIPP/E, CIPM, Senior Managing Associate w Deloitte Legal.

Koszt rozwoju technologicznego

Autorzy raportu przewidują, że w ciągu najbliższych kilku lat instytucje finansowe będą w coraz większym stopniu wykorzystywać nowe technologie do obsługi konsumenckiej. Wirtualni asystenci, drony czy też czujniki przekazujące informacje o klientach (np. urządzenia wearables) to tylko niektóre z nich. Sposób oddziaływania wykorzystywanych rozwiązań na prywatność różnił się będzie w zależności od zastosowanych rozwiązań. Głównym wyzwaniem sektora finansowego jest natomiast optymalizacja wykorzystania danych przy jednoczesnym zapewnieniu zgodności z obowiązującymi przepisami.

– Instytucje finansowe zdają sobie doskonale sprawę, że dane, które posiadają są jednym z największych kapitałów. Ich połączenie z informacjami z mediów społecznościowych, geolokalizacji czy zachowań zakupowych pozwala na lepsze profilowanie klienta pod kątem jego potrzeb, preferencji czy wiarygodności kredytowej. Można znacznie poprawić sposób wykorzystanie tych informacji przez banki, ale jednym z największych wyzwań pozostaje wciąż ochrona prywatności i danych – mówi Przemysław Szczygielski, Partner, Lider zarządzania ryzykiem oraz doradztwa regulacyjnego dla sektora finansowego Deloitte w Polsce.

Niektóre technologie stanowią większe zagrożenie dla prywatności niż inne. Aby określić prawdopodobieństwo naruszenia ochrony danych eksperci Deloitte przeanalizowali osiem obszarów, w których występują największe zagrożenia. Ich poziom różni się w zależności od rodzaju zastosowanego narzędzia.

Badania pokazują, że najwięcej zastrzeżeń budzą technologie służące do monitorowania aktywności użytkowników w Internecie (przeglądanie stron internetowych, wiadomości e-mail, komunikatorów internetowych) oraz w mediach społecznościowych. Narzędzia te mają największy potencjał do ingerencji w prywatność użytkowników. W sferę prywatną jednostki w znaczącym stopniu wkraczają także wearables (ubrania i akcesoria elektroniczne lub zaawansowane technologie elektroniczne), drony i wirtualni asystenci.

Co ciekawe, wyniki analiz wskazują, że narzędziami o najmniejszym potencjale naruszenia prywatności są technologie biometryczne.

– Koszt ponoszą nie tylko konsumenci, ale również instytucje finansowe. Te z nich, które nie posiadają odpowiedniej strategii, polityk oraz narzędzi pozwalających na zarządzanie danymi oraz ocenę zagrożeń dla prywatności, mogą stanowić spory problem dla samych siebie. Potencjalną pułapką może być na przykład podejmowanie przez nie decyzji dotyczących klientów na podstawie danych uzyskanych od stron trzecich, np. brokerów danych – mówi Ewelina Witek.

Prywatność z innej perspektywy

Czy istniejące polityki ochrony danych są wystarczające dla zapewnienia prywatności w dobie szybko rozwijających się technologii? Podczas analizy losowo wybranych 12 z największych podmiotów w sektorze usług finansowych okazało się, że ich polityki są skonstruowane tak, aby jedynie dopełnić obowiązujących wymogów prawnych.

Zdaniem ekspertów Deloitte, aby poprawić poziom zaufania konsumentów, instytucje finansowe powinny na nowo przemyśleć swoje podejście do prywatności, przyjmując bardziej proaktywną i strategiczną perspektywę. Konieczne jest spojrzenie na prywatność z szerszej perspektywy, uwzględniając różne jej formy, stosowane technologie oraz dokonując przeglądu istniejących polityk. Należałoby ponadto chronić dane konsumentów, stosując najnowocześniejsze rozwiązania cyfrowe, jednocześnie poszukując rozwiązań korzystnych zarówno dla instytucji finansowych, jak i dla klientów. Na koniec osoby odpowiedzialne za ochronę danych w instytucjach finansowych muszą otrzymać uprawnienia do tworzenia nowych strategii zarządzania danymi.

– Przemyślana strategia pozwoli instytucjom finansowym nie tylko przygotować się na zachodzące zmiany w zgodzie z istniejącymi regulacjami, ale też zbudować zaufanie wśród klientów. Miejsce szablonowych przekazów powinna zająć jasna komunikacja na temat tego, jak podmioty świadczące usługi finansowe chronią dane swoich klientów – mówi Agata Jankowska-Galińska, Radca prawny, Senior Managing Associate w Deloitte Legal.