GDPR เปลี่ยนอะไรในอุตสาหกรรมการเงิน

           ในช่วงปลายเดือนพฤษภาคมในปี 2018 สหภาพยุโรปได้เริ่มบังคับใช้กฎหมายใหม่ General Data Protection Regulation หรือที่รู้จักกันในนาม GDPR อย่างเป็นทางการ การบังคับใช้ในครั้งนี้ก่อให้เกิดความเปลี่ยนแปลงมากมายกับธุรกิจทั่วโลกซึ่งแน่นอนว่ารวมไปถึงอุตสาหกรรมการเงินด้วย การเปลี่ยนแปลงนี้เป็นอย่างไร? ส่งผลกระทบอะไรกับการเงินบ้าง ขอเชิญผู้อ่านมาติดตามกันได้ในบทความนี้

           General Data Protection Regulation คือกฎหมายซึ่งว่าด้วยการปกป้องข้อมูลและความเป็นส่วนตัวของประชาชนในสหภาพยุโรปโดยมีวัตถุประสงค์ในการจัดระเบียบกฎหมายด้านความเป็นส่วนตัวของข้อมูลในสหภาพปกป้องและมอบอำนาจให้บุคคลควบคุมข้อมูลส่วนตัวได้เต็มที่ และเป็นแนวทางให้กับธุรกิจที่มีการดำเนินการและมีลูกค้าอยู่ใน EU ซึ่งหากองค์กรใดฝ่าฝืนกฎหมายฉบับนี้ ก็อาจได้รับโทษปรับสูงสุด 4% ของรายได้ทั่วโลก หรือ 20 ล้านยูโร

           สำหรับธุรกิจการเงินเองก็ย่อมได้รับผลกระทบไปด้วย โดย Signaturit บริษัทผู้ให้บริการโซลูชัน eSignature ได้วิเคราะห์ว่า GDPR นั้นจะส่งผลกระทบต่อธุรกิจ FinTech ใน 7 แง่มุมหลัก ดังนี้

           1. การยินยอมให้ข้อมูลโดยลูกค้า

           GDPR ได้กำหนดอย่างชัดเจนว่าเมื่อมีการเก็บข้อมูลของลูกค้าแต่ละครั้งองค์กรผู้เก็บข้อมูลจะต้องร้องขอความยินยอมจากเจ้าของข้อมูลก่อน พร้อมกับต้องระบุให้ชัดเจนว่าจะเก็บข้อมูลใดและนำไปใช้อย่างไร ซึ่งนอกจากธุรกิจ FinTech จะต้องจัดเตรียมกลไกการมอบความยินยอมแล้วยังต้องพิจารณาไปถึงข้อมูลที่เคยเก็บในอดีตและแจ้งให้ลูกค้าทราบย้อนหลังด้วย

           2. การใช้ Biometrics อนุมัติธุรกรรม

           ข้อมูล Biometrics เช่น รอยนิ้วมือและภาพถ่ายม่านตานั้นเป็นวิธีการยืนยันตัวตนที่ได้รับความนิยมมากขึ้นเรื่อยๆในปัจจุบัน ซึ่งการเก็บข้อมูลเหล่านี้ก็นับเป็นข้อมูลที่องค์กรจะต้องรักษาความปลอดภัยและขอความยินยอมในการจัดเก็บจากผู้ใช้เช่นกัน

           3. สิทธิที่จะถูกลืม

           GDPR นั้นระบุให้ประชากรในสหภาพยุโรปมีสิทธิที่จะถูกลืม ซึ่งนั่นหมายถึงบุคคลสามารถเรียกร้องให้องค์กรลบข้อมูลส่วนตัวของเขาออกจากระบบได้ โดยสำหรับสถาบันการเงินอาจมีความจำเป็นในการเก็บข้อมูลบางส่วนของลูกค้าธุรกรรมด้วยข้อกำหนดทางกฎหมาย ทว่าส่วนที่นอกเหนือจากนั้นหากถูกร้องขอก็ต้องยินยอมลบข้อมูลออกไปจากระบบ

           4. การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว

           การโจมตีทางไซเบอร์นั้นเป็นเรื่องที่พบเห็นได้บ่อยขึ้น และก่อนมี GDPR บริษัทที่โดนโจมตีก็มักจะมีวิธีการจัดการแตกต่างกันไป ทว่าเมื่อบังคับใช้กฎหมายนี้แล้ว ธุรกิจจะต้องแจ้งเหตุการโดนโจมตีและรายงานถึงสถานการณ์ ประเภท จำนวนผู้ได้รับผลกระทบโดยประมาณ และช่องทางติดต่อผู้รับผิดชอบด้านข้อมูลให้กับทางการภายในเวลา 72 ชั่วโมง อีกทั้งยังต้องรายงานผู้ใช้ที่ได้รับผลกระทบให้เร็วที่สุดด้วย

           5. การจัดการ Supplier

           ระบบ IT ของสถาบันการเงินอาจประกอบไปด้วยแอปพลิเคชั่นและโซลูชั่นจากผู้ให้บริการหลายเจ้า ซึ่งทำให้ผู้ให้บริการเหล่านั้นสามารถเข้าถึงข้อมูลของลูกค้าได้ ดังนั้นผู้ให้บริการเหล่านี้จึงจำเป็นที่จะต้องปฏิบัติตามระเบียบของ GDPR เช่นกัน และสถาบันการเงินเองก็ต้องระวังการส่งข้อมูลข้ามระบบด้วยว่ามีการรักษาความปลอดภัยข้อมูลของลูกค้าตามข้อกำหนดหรือไม่

           6. Pseudonymisation

           กฎหมาย GDPR ส่งเสริมให้องค์กรปกปิดตัวตนของเจ้าของข้อมูลหรือทำให้ข้อมูลเป็นนิรนามด้วยขั้นตอนที่เรียกว่า Pseudonymisation ซึ่งจะทำให้ไม่สามารถสืบค้นย้อนไปถึงเจ้าของตัวจริงได้หากไม่มีข้อมูลจากแหล่งอื่นมาประกอบ Pseudonymisation จะช่วยลดความเสี่ยงในขั้นตอนการประมวลผลข้อมูลโดยที่สถาบันการเงินยังสามารถใช้ข้อมูลได้ประโยชน์เต็มรูปแบบเท่าเดิม

           7. การคว่ำบาตร

           ธุรกิจที่ไม่สามารถปฏิบัติตาม GDPR ได้นั้นจะมีสิทธิได้รับโทษรุนแรงกว่ากฎหมายด้านข้อมูลเดิมที่เคยมีมา ซึ่งนอกจากการปรับสูงสุด 4% ของรายได้ทั่วโลกหรือ 20 ล้านยูโรแล้ว หากมีการฝ่าฝืนเล็กๆน้อยๆก็อาจถูกปรับได้สูงสุด 2% ของรายได้ทั้งหมดด้วย

           ผู้เชี่ยวชาญหลายฝ่ายเชื่อว่า GDPR เป็นกฎหมายที่จะนำร่องให้เกิดกฎหมายลักษณะคล้ายกันในภูมิภาคอื่นๆทั่วโลก ปัจจุบันจึงเป็นเวลาอันดีที่ธุรกิจจะได้เรียนรู้เรื่องการรักษาความปลอดภัยข้อมูลและการปกป้องความเป็นส่วนตัวของผู้ใช้งาน เพราะนอกจากจะช่วยให้องค์กรสามารถปรับปรุงระบบให้เป็นไปตามเกณฑ์ที่กำหนดแล้ว ความปลอดภัยของข้อมูลและการรักษาความเป็นส่วนตัวยังสร้างความน่าเชื่อถือให้กับองค์กรและดึงดูดผู้บริโภคที่เริ่มมีความตื่นตัวในประเด็นนี้มากขึ้น

เรียนรู้เพิ่มเติม >> ประเทศไทยยุค 4.0 กับ Digital ID ที่จะเปลี่ยนอนาคตของการยืนยันตัวตน