От соблюдения нормативных требований к хранителю данных: освоение новой эры Data Privacy в Индии

Об этом эпизоде

В рамках этой сессии «Час конфиденциальности» от SeqriteВ программе доктор Лалит Мохан принимает Каушика Баласубраманиана, одного из основателей Sisory и опытного консультанта по управлению рисками. Разговор выходит за рамки технических аспектов. Закон о защите цифровых персональных данных (DPDPA) Цель состоит в том, чтобы рассмотреть культурные и этические изменения, необходимые внутри организаций. Центральная тема заключается в том, что конфиденциальность — это не просто юридическая «галочка», а основа доверия между бизнесом и его клиентами.

В приведенных ниже часто задаваемых вопросах обобщены стратегические и философские выводы, сделанные в ходе обсуждения.

Часто задаваемые вопросы

В чём заключается значение термина «субъект данных» в Законе о защите персональных данных (DPDPA) по сравнению с термином «субъект данных»?

Хотя это может показаться простой заменой слова, переход от «субъект» к «главный субъект» сигнализирует о серьезных культурных изменениях. Это укрепляет идею о том, что человек является основным заинтересованным лицом в своих данных. В качестве «главного субъекта» данные принадлежат кому-то другому, а организация является лишь хранителем, обязанным их защищать.

Как организации обрабатывают данные, накопленные за десятилетия до принятия Закона о защите персональных данных (DPDPA)?

Многие организации накапливали огромные массивы данных в течение 50-60 лет без явного согласия. Зрелые компании сейчас занимаются очисткой этих данных, удалением ненужной информации и повторным взаимодействием с клиентами для получения нового, действительного согласия, соответствующего новому законодательству.

Какова роль «менеджера согласия» в экосистеме DPDPA?

Менеджер согласия выступает в роли посредника или агрегатора между пользователем и организацией. Хотя эта роль всё ещё развивается, её цель — обеспечить прозрачность и укрепить доверие, позволяя клиентам управлять своими разрешениями на использование данных в одном месте.

Как организации могут гарантировать, что клиенты понимают «Уведомление и согласие»?

Перевод на 22 официальных индийских языка — это только первый шаг. Для полного понимания уведомление должно быть написано простым языком, а не с использованием сложного юридического жаргона. Цель состоит в том, чтобы обычный клиент за минуту прочтения точно понял, как будут использоваться его данные.

Может ли организация просто «удалить» данные по запросу пользователя?

Технически, это не «простая задача». Хотя данные можно удалить из основных систем, таких как CRM или системы выставления счетов, организациям необходимо учитывать другие нормативные акты (например, правила Резервного банка Индии или телекоммуникационные правила), которые предписывают хранение данных в течение определенных периодов. В таких случаях данные могут быть заархивированы специально для правоохранительных органов, а не полностью удалены.

Кто несёт ответственность, если сторонний поставщик допустил ошибку в обработке данных? данные клиентов?

Организация, собравшая данные, является их хранителем и несет окончательную ответственность. Для управления этим процессом компании должны внедрить систему «Управления рисками, связанными с третьими сторонами», включая аудиты и сертификацию, чтобы гарантировать, что поставщики обрабатывают данные в соответствии с инструкциями.

Заменит ли искусственный интеллект аудиторов-людей в обеспечении соблюдения требований конфиденциальности?

Нет. Хотя ИИ может справляться с монотонными задачами большого объема, такими как выявление закономерностей в данных, окончательное принятие решений остается обязанностью человека. Люди обладают необходимыми этическими принципами, эмпатией и эмоциональным интеллектом, которых ИИ не хватает для принятия решений о том, как следует обрабатывать данные.

Какова цель Закона о защите персональных данных и защите конфиденциальности (DPDPA) для руководителя предприятия?

Руководителям и членам советов директоров следует отказаться от вопроса «Соответствуем ли мы требованиям?» и вместо этого спросить: «Заслуживаем ли мы доверия?». На сессии подчеркивается, что конфиденциальность должна быть заложена в «ДНК» каждого сотрудника, и к ней следует относиться с должным вниманием. защита данных как этический долг, а не просто способ избежать штрафа в размере 250 крор рупий.

В этом видео подробно рассматривается изменение мышления, необходимое индийским организациям для успешного преодоления трудностей. ДПДПА эпохи.