Maksupalveludirketiviivin ja yleisen tietosuoja-asetuksen yhteydestä on kirjoitettu harvoin. Maksupalvelutarjoajilla on edessään mielenkiintoiset kaksi vuotta.
Vuoden 2016 alkupuolella EU:n lainsäädäntöelimissä sovittiin kahdesta lainsäädäntöhankkeesta, jotka lisäävät merkittävästi jokaisen EU-kansalaisen oikeuksia sähköisiin tietoihinsa. Hankkeet ovat PSD2 (Payment Service Directive 2) ja yleinen tietosuoja-asetus GDPR (General Data Protection Regulation). Molempiin liittyy kahden vuoden siirtymäaika, jonka aikana kansallinen lainsäädäntö muutetaan hankkeen mukaiseksi (PSD2) tai sääntely tulee voimaan suoraan sovellettavana Eurooppalaisena asetuksena (GDPR).
PSD2 koskee maksupalvelutarjoajia kuten luottokorttiyhtiöitä, pankkeja ja muita online-maksupalveluiden tarjoajia. PSD2:n ydinajatus on läpinäkyvyyden lisäys, uusien innovaatioiden tuki sekä uusien toimijoiden markkinoille tulon helpottaminen.
GDPR, johon viitataan myös Eurooppalaisen tietosuojalainsäädännön nimellä, puolestaan määrittelee jokaisesta meistä kerättävään yksilöön kohdistuvan datan käsittelyyn liittyvän säännöstön.
Kummastakin hankkeesta on kirjoitettu viime vuosina ahkerasti, mutta harvemmin yhdessä. Vielä harvemmin on kerrottu hankkeiden ydinajatuksista ja vaikutuksista eri toimijoiden näkökulmista.
Yksityisen kansalaisen näkökulmasta pohjimmiltaan kysymys on digitaalisesta identiteetistä, siitä kuka sen omistaa ja millaiset käyttäytymissäännöt kanssakäymiselle meidän digitaalisen minämme kanssa muodostuvat. Digitaalisella identiteetillä tarkoitetaan tässä yhteydessä sitä kuvaa tai projektiota, joka meistä jokaisesta muodostuu. Eli kaikesta siitä datasta, jota eri markkinatoimijat kuten sosiaalisen median palvelut, pankit, kaupat, viranomaiset meistä keräävät. Lähes jokainen viimeisen 15 vuoden aikana perustettu yli miljardin markkina-arvon omaava yritys (kuten Uber, Airbnd tai jopa kotoisat peliyhtiömme) perustaa liiketoimintansa kaikkien meidän digitaalisen identiteetin kaupallistamiseen ja uusien innovatiivisten palveluiden kehittämiseen tätä dataa hyödyntäen. Perinteisesti datakeskeiset toimijat kuten pankit, vakuutusyhtiöt ja vähittäistavarakauppa jäivät tässä kilpailussa jälkeen, ja pyrkivät parhaillaan kuromaan eroa kiinni.
Yksittäisen henkilön omistajuus PII-datalle (Personally identifiable information) on näiden lainsäädäntöhankkeiden kautta selvästi parantumassa ja lisääntymässä. Yrityksille puolestaan kohdistuu vaatimus kuvata kuka & miten & miksi prosessoi asiakkaidensa tietoja. PII-datalla tarkoitetaan yksilöön suoraan tai epäsuoraan identifioitavissa olevaa tietoa.
PSD2 mahdollistaa tietyin edellytyksin ja kuluttajan omalla suostumuksella pankkitilitietojen avaamisen, sekä transaktioiden suorittamisen kolmansien osapuolien välityksellä. Tämä tulee aikaansaamaan suuren aallon Fintech-startup- yrityksiä, jotka tulevat tuottamaan esimerkiksi helppokäyttöisiä palveluita, joiden kautta jokainen voi yhdestä paikkaa katsoa kokonaisvaltaisesti oman taloudellisen tilanteensa pankista riippumatta.
GDPR puolestaan tuo uusia elementtejä PII-tiedon käsittelyyn kuten “oikeuden unohtaa” tai “oikeuden siirtää dataa”. Kuluttaja voi siis pyytää halutessaan datan prosessoijaa kuten sosiaalisen median toimijaa, teleoperaattoria tai vaikkapa vähittäiskauppaa luovuttamaan ja/tai “unohtamaan = tuhoamaan” häneen liittyvät tiedot.
Markkinatoimijoille, joilla on hallussaan ja jotka prosessoivat runsaasti PII-tietoja, seuraavat kaksi vuotta ovat mielenkiintoisia. Toisaalta paljon keskustelua on käyty siitä, miten lainsäädännön minimivaatimukset täytetään, jotta vältytään sanktioilta, maineen rapistumiselta tai kenties jopa oikealta liiketoiminnan menetykseltä. Yhtäältä on puolestaan alettu miettiä uusia liiketoimintamahdollisuuksia tai jopa kokonaan uusien markkinoiden luomista digitaalisen identiteettimme ympärille.
Minimivaatimusnäkökulma on hyvin ymmärrettävä – molempiin lainsäädäntöihin liittyy hyvin paljon elementtejä, jotka voivat tarkoittaa erityisesti isoille organisaatioille syvää luotaavia muutoshankkeita, jotka eivät kosketa pelkästään yritysten lakiosastoja, vaan klassisella “ihmiset, prosessit, teknologia”- ajattelulla kaikkia kolmea osapuolta. Erityisen haastavaa kahden vuoden aikajänteen näkökulmasta ovat lainsäädännöistä kumpuavat IT-arkkitehtuurin muutoksiin vaikuttavat hankkeet, joiden näkökulmasta pari vuotta on todella lyhyt aika.
GDPR:n tapauksessa tämä tarkoittaa esimerkiksi yritysten kaikkien PII-dataa käsittelevien järjestelmien läpikäymistä, datan keräämisen ja prosessoimisen miettimistä sekä erityisesti mahdollisimman automaattisen tavan löytämistä sille, miten lainsäädännön vaatimat toimintapolitiikat ajetaan eri data lähteiden päälle. Tämä tulee vaatimaan saumatonta yhteistyötä yritysten laki-, yritysturvallisuus- ja IT-tiimien kesken.
PSD2 puolestaan vaatii rahoitusalan toimijoita rakentamaan rajapinnat pankkitilidataan, joiden kautta kolmannet markkinaosapuolet kuluttajan suostumuksella pääsevät rakentamaan uusia innovatiivisia palveluita. Tätä kautta käsiteltävä data on luonnollisesti mitä suurimmassa määrin PII-dataa, johon taas kohdistuu normaalit GDPR vaatimukset – tässä mielessä voisi ajatella, että rahoitusalan toimijoille nämä kaksi lainsäädäntöä muodostavat eräänlaisen luontaisen tandemin.
Oma näkemykseni on, että kaikkien markkinatoimijoiden, joita sääntely koskee, tulee muodostaa mahdollisimman nopeasti tilannekuva minimivaatimuksista, projektoida se ja siirtyä sen jälkeen tai jopa samanaikaisesti tarkastelemaan, mitä uusia markkinoita digitaalisen identiteetin avulla avautuu. Oikein ymmärrettynä tämä mahdollistaa uusien Eurooppalaisten “yksisarvisten” syntymän lisäksi jokaiselle meille kuluttajalle vahvempaa otetta digitaalisen maailman “alter ego’mme” omistajuudesta.