Выходя за рамки формального оформления: построение системы безопасности, ориентированной на защиту частной жизни, в рамках DPDPA.

Об этом эпизоде

В рамках этой сессии «Час конфиденциальности»: Seqrite Ведущая Апурва Саксена из KPMG India обсудит практический переход от рассмотрения конфиденциальности как простого препятствия на пути к ее интеграции в основную бизнес-модель. Цифровая защита персональных данных (DPDP) Закон вступает в полную силу,

В ходе беседы подчеркивается, что индийским организациям теперь необходимо принять подход к обеспечению безопасности, ставящий во главу угла конфиденциальность. защищать данные и избегать серьезных штрафов.

Приведенные ниже ответы на часто задаваемые вопросы основаны на стратегических и оперативных выводах, сделанных в ходе сессии.

Часто задаваемые вопросы (FAQ):

Каким образом Закон о защите персональных данных (DPDPA) расширяет права и возможности граждан Индии (субъектов данных)?

Закон значительно расширяет права пользователей по сравнению с предыдущими законами. Ключевые расширения прав включают право назначать лицо, которое будет осуществлять права в случае смерти или недееспособности, и четкий механизм рассмотрения жалоб. Организации теперь обязаны разрешать жалобы в течение 90 дней, как это предписано правительством.

Обязателен ли «менеджер согласия» для всех организаций?

Нет. Распространенное заблуждение заключается в том, что каждой компании нужен менеджер согласия. Зачастую существующих систем управления согласием достаточно. Менеджеры согласия, выступающие в качестве агрегаторов или интеграторов, в первую очередь необходимы для сложных сценариев, включающих проверку данных третьими сторонами, таких как кредитные проверки или проверка личности (аналогично DigiLocker).

Как организациям следует эффективно обрабатывать запросы субъектов данных (DSR)?

Хотя в настоящее время многие обрабатывают запросы вручную, для масштабируемости необходима надежная цифровая система. Она включает в себя:

• Система DSR для обработки запросов.
• Базовый слой обнаружения данных для поиска структурированных и неструктурированных данных.
• ROPA (Record of Processing Activities) используется для определения местоположения данных и их источников, что гарантирует точность и обоснованность отчетов.

Может ли организация «автоматически» удалять данные после того, как их цель достигнута?

Хотя автоматизация достижима, она может быть опасна, если не будет реализована должным образом. Логика удаления должна учитывать различные ограничения, такие как:

• Отраслевые законыСогласно требованиям Резервного банка Индии, хранение данных может осуществляться в течение нескольких лет независимо от положений Закона о защите персональных данных (DPDPA).
• Юридические запретыДанные, фигурирующие в судебных спорах, должны быть сохранены.
• Резервные копииПри удалении также необходимо учитывать данные, хранящиеся на магнитных лентах или резервных серверах.

Что такое DPIA и почему она важна для лиц, ответственных за обработку значимых данных (SDF)?

A Защита данных Оценка воздействия (DPIA) — это оценка рисков, ориентированная на влияние обработки данных на субъекта данных. Она помогает организациям, занимающимся обработкой данных, выявлять такие риски, как кража личных данных, ущерб репутации или финансовые потери, и связывать их с конкретными техническими и организационными мерами по смягчению последствий.

Как искусственный интеллект влияет на управление конфиденциальностью?

Искусственный интеллект усложняет систему управления. Организациям, использующим ИИ, следует:

• Анонимизировать подсказкиИспользуйте логику для обрезки персональных данных перед их поступлением в магистратуру.
• Человек-в-петляНеобходимо обеспечить «визуальную проверку» результатов работы ИИ, чтобы избежать предвзятости и ошибок.
• Контроль поставщиковВыясните, используют ли ваши данные поставщики серверных решений (например, Microsoft или OpenAI) для обучения своих моделей.

Каковы новые сроки подачи сообщений о нарушениях защиты данных в соответствии с Законом о защите персональных данных (DPDPA)?

В отличие от ранее существовавших неофициальных 72-часовых периодов, ДПДПА Организациям требуется уведомлять совет директоров и пострадавших лиц «как можно скорее» (ASAP) после выявления нарушения. Подробный отчет должен быть предоставлен в течение 72 часов.

Какой первый шаг должна предпринять компания, начинающая сегодня свой путь к обеспечению конфиденциальности?

Наиболее важным шагом является подбор подходящих сотрудников. Также настоятельно рекомендуется разделять должности специалиста по защите данных (DPO) и директора по информационной безопасности (CISO), чтобы обеспечить прозрачность и избежать внутренних конфликтов интересов при сообщении о проблемах.

Эта сессия служит руководством для руководителей ИТ-отделов и юридических отделов по внедрению их оперативных решений. data privacy рамочные соглашения, выходящие за рамки простого соблюдения требований, для построения подлинного цифрового доверия.