Data Privacy в банковском и финансовом секторе

Об этом эпизоде

Сектор банковских, финансовых и страховых услуг (BFSI) обрабатывает одни из самых конфиденциальных личных и финансовых данных, что делает его одним из основных направлений деятельности. Закон о защите цифровых персональных данных (DPDPA)В рамках сессии «Час конфиденциальности» эксперты отрасли рассмотрят, как финансовые учреждения могут сбалансировать строгие нормативные требования с необходимостью цифровых инноваций и бесперебойного обслуживания клиентов.

Приведенные ниже ответы на часто задаваемые вопросы основаны на информации, представленной в видеоролике.

Часто задаваемые вопросы

Как Закон о защите данных и защите финансовых рынков (DPDPA) меняет ситуацию в банковском, финансовом и страховом секторах по сравнению с существующими правилами Резервного банка Индии?

Хотя банки уже следуют строгим правилам Резервного банка Индии, Закон о защите персональных данных (DPDPA) вводит горизонтальную структуру, которая фокусируется конкретно на «субъекте данных» (клиенте). Он смещает акцент с «безопасности» на «права на неприкосновенность частной жизни», требуя от банков предоставления детальных уведомлений, управления конкретным согласием для каждой цели и обеспечения удаления данных после достижения основной цели, если иное не предусмотрено законом.

В чём заключается главная проблема внедрения концепции «ограничения целей» в банковской сфере?

Банки часто собирают данные по одной причине (например, для открытия сберегательного счета), но хотят использовать их и для другой (например, для предварительного одобрения кредита). В соответствии с Законом о защите персональных данных (DPDPA) это разрешено только при наличии явного информированного согласия для каждой конкретной цели. Управление этими «наборами согласий» для различных банковских продуктов представляет собой серьезную операционную проблему.

Как финансовым учреждениям следует поступать с «устаревшими данными» в соответствии с новым законом?

Банки хранят данные о клиентах за десятилетия. Эксперты рекомендуют учреждениям провести «анализ данных», чтобы определить, какие данные у них есть, зачем они им нужны и по-прежнему ли они им необходимы. Если первоначальное согласие не соответствует стандартам DPDPA, банки должны разослать новые уведомления существующим клиентам для подтверждения возможности дальнейшей обработки данных.

Какова роль «менеджеров согласия» в финансовой экосистеме?

Закон о защите персональных данных (DPDPA) вводит концепцию менеджера согласия — платформы, которая позволяет пользователям управлять своими согласиями, отзывать их и отслеживать в одном месте. Для финансового сектора это соответствует концепции «агрегатора счетов», обеспечивая более прозрачный обмен финансовой информацией и предоставляя клиентам полный контроль.

Как банкам управлять рисками, связанными с «доверенными лицами, ответственными за обработку важных данных» (SDF)?

Ввиду объема и конфиденциальности обрабатываемых данных, большинство крупных банков, вероятно, будут классифицированы как организации, оказывающие услуги в сфере защиты данных (SDF). Это требует от них назначения сотрудника по защите данных (DPO), проведения регулярных оценок воздействия на защиту данных (DPIA) и прохождения независимых аудитов для обеспечения устойчивости их системы защиты конфиденциальности.

Каково влияние DPDPA на партнерские отношения с финтех-компаниями?

Банки часто сотрудничают с финтех-компаниями для проведения процедур KYC (верификации личности клиента), генерации лидов или обработки кредитов. В соответствии с законом, банк остается «доверительным управляющим данными», ответственным за любые нарушения со стороны финтех-компании, являющейся «обработчиком данных». Это требует более строгой оценки рисков поставщиков и интеграции принципа «конфиденциальности по умолчанию» между основными системами банка и приложением партнера.

Как работает «право на удаление данных», если финансовое законодательство требует их хранения?

Это часто встречающаяся путаница. ДПДПА Допускается сохранение данных, если это требуется другим законом (например, нормами противодействия отмыванию денег или процедурой «знай своего клиента»). Банки должны найти баланс: удалять данные, которые больше не требуются по закону, но сохранять записи, предписанные Резервным банком Индии или налоговыми органами, даже если клиент запрашивает их удаление.

Какой первый шаг должно предпринять финансовое учреждение для обеспечения соответствия требованиям?

В ходе обсуждения было достигнуто общее согласие относительно начала с Карта потока данныхВы не можете защитить то, о существовании чего не знаете. Составление карты того, как данные попадают в банк, где они хранятся, кто имеет к ним доступ и когда они покидают систему, является важнейшей основой для всех других усилий по обеспечению конфиденциальности. Это видео дает подробный обзор взаимодействия финансовых технологий и data privacy В рамках конференции эксперты обсудят практические пути дальнейшего развития банковского, финансового и страхового сектора в Индии.