Yksityisyys haastaa läpinäkyvyyden – miten GDPR ja MiFID II sovitetaan yhteen?
08.01.2018
Finanssialan toimijoille alkanut vuosi 2018 on tavanomaistakin raskaampi implementoitavasta sääntelystä johtuen. 3.1.2018 tuli voimaan Rahoitusvälineiden markkinat -direktiivi (MiFID II) ja ennen kesää (25.5.2018) alkaa EU:n yleisen tietosuoja-asetuksen (GDPR) soveltaminen.
Ristiriita: entistä enemmän tietoa sijoittajille, toisaalta mahdollisimman vähän dataa
Vuonna 2008 alkanut finanssikriisi ja markkinakehitys edellyttivät sijoituspalveluiden, sijoittajansuojan sekä rahoitusvälineiden kaupankäynnin tarkastelua uudelleen. Tämän seurauksena syntyi MiFID II. GDPR on puolestaan vastaus vallitsevaan big datan aikakauteen. The Economist julisti hiljattain datan olevan uusi öljy, maailman arvokkain hyödyke, johon liittyy kuitenkin valtavia haasteita yksityisyyden osalta.
MiFID II:n ydintä on läpinäkyvyyden lisääminen keräämällä ja jakamalla entistä enemmän tietoa sijoittajille, kun GDPR puolestaan painottaa hankkimaan ja säilyttämään vain tarpeellisen määrän dataa. Ristiriita kahden pakottavan säännöksen välillä vaikuttaa ilmeiseltä.
Tiukat vaatimukset työntekijöitä koskeville tiedoille
Asiakkaidemme MiFID II -implementointiprojekteissa esille on usein noussut MiFID II:n tiukat velvoitteet työntekijöitä koskien. Toimijoiden on kerättävä ja säilytettävä tarkat tiedot koko toimeksiantoketjusta aina ensimmäisestä asiakaskontaktista lopulta toteutetun toimeksiannon raportointiin asti. Velvoitteen täyttämiseksi säilytettävää dataa kertyy muun muassa työntekijöiden puheluista ja kaupankäyntitiedoista. Prosessien toimivuuden seuraamiseksi tehtävien tarkistusten vuoksi kerättyjä tietoja tarkastellaan esimerkiksi puheluita kuuntelemalla.
Samanaikaisesti monilla asiakkailla on ollut käynnissä myös GDPR-implementointi, jonka puitteissa on yksilöity muun muassa asiakkaiden tietovarannot ja -virrat sekä järkevöitetty niiden hallintaa.
Nämä kaksi projektia ovat olleet herkästi törmäyskurssilla, kun toinen lisää kerättävää tietoa toisen pyrkiessä vähentämään sitä.
Läpinäkyvyys lopulta yhteistä
Säännösten väliltä löytyy kuitenkin selvä soveltamisjärjestys ja logiikka. Ristiriita hälvenee, kun ymmärtää läpinäkyvyyden olevan olennainen osa myös GDPR:ssä. Jos erityislainsäädäntö vaatii toimijaa keräämään ja säilyttämään tietoja esimerkiksi työntekijöistä, ei tämä ole vastoin GDPR:n velvoitteita, kunhan GDPR:n asettamia pelisääntöjä noudatetaan.
Metsään mennään silloin, jos kerätylle tiedolle ei ole GDPR:n mukaista käsittelyperustetta. MiFID II:n vuoksi kerättyjen tietojen käsittelyperuste on MiFID II itsessään, erityislainsäädännön toimijalle asettamat velvoitteet. Jos tiedolle on olemassa laillinen käsittelyperuste, tietoja voidaan käsitellä ja säilyttää. Ellei käsittelyperustetta ole, tiedot tulee poistaa (toki näin myös lainsäädännön vaatiman säilytysajan päätyttyä).
GDPR:n tavoite onkin lopulta MiFID II:n ideologian kanssa yhteneväinen: luodaan asiakkaiden oikeudet entistä paremmin turvaavia toimintatapoja, jotka kommunikoidaan avoimesti asiakkaille.
Lisätiedot:
Anna Bernitz, Senior Associate, puh: +358 40 838 4965, [email protected]
