Wyzwania dotyczące prywatności i ochrony danych w świecie Covid i po pandemii

Opublikowany: 2020-09-04

Nagła zmiana cyfrowa spowodowana skutkami Covid-19 stanowi poważne wyzwanie w zakresie zgodności

Większość organizacji nie ma podstawowej wiedzy na temat gromadzonych danych, nie mówiąc już o przyczynach i celach takiego gromadzenia

Ramy prawne dotyczące prywatności i ochrony danych w Indiach wkrótce zrobią milowy krok w postaci ustawy o ochronie danych osobowych z 2019 r.

Pandemia Covid-19 masowo zakłóciła i nadal zaburza sposób, w jaki jednostki, rządy i korporacje funkcjonują praktycznie w każdej dziedzinie życia. Największym przejawem tego zakłócenia jest coraz częstsze stosowanie rozwiązań technologicznych w celu sprostania wyzwaniom, jakie stawia ta pandemia.

Najważniejsze cechy współczesnego prawa

Ustawa o technologii informacyjnej z 2000 r. (ustawa o IT) w połączeniu z przepisami dotyczącymi technologii informatycznych (racjonalnych praktyk i procedur bezpieczeństwa oraz wrażliwych danych osobowych lub informacji) z 2011 r. (zasady dotyczące wrażliwych danych osobowych) to główne przepisy regulujące gromadzenie i przetwarzanie danych osobowych i wrażliwych danych osobowych dane lub informacje (Wrażliwe Dane Osobowe) na zasadzie neutralnej dla sektora.

Zasady dotyczące wrażliwych danych osobowych określają przede wszystkim jako wrażliwe dane osobowe:

  • Hasło
  • Informacje finansowe, takie jak dane konta bankowego, karty kredytowej lub debetowej lub inne dane instrumentu płatniczego
  • Stan zdrowia fizycznego, fizjologicznego i psychicznego
  • Orientacja seksualna
  • Dokumentacja medyczna i historia
  • Informacje biometryczne

Wrażliwe dane osobowe mogą być gromadzone przez osobę prawną, przestrzegając przepisów dotyczących wrażliwych danych osobowych, w tym poprzez uzyskanie zgody od dostawcy informacji.

Wyzwania dotyczące zgodności wprowadzone przez Covid-19

Nagła zmiana cyfrowa spowodowana skutkami Covid-19 stanowi poważne wyzwanie w zakresie zgodności, biorąc pod uwagę ogólne perspektywy zgodności w odniesieniu do prywatności danych w Indiach. W związku z pracą zdalną w następstwie Covid-19 prywatność danych, bezpieczeństwo i zarządzanie stały się ogromnym problemem dla większości organizacji ze względu na brak możliwości radzenia sobie z prywatnością i ochroną danych.

Polecany dla Ciebie:

Jak platforma agregacji kont RBI ma zmienić fintech w Indiach
Zasoby

Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych startupów poprzez „Jugaad”: CEO CitiusTech
Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Co oznacza przepis anty-profitowy dla indyjskich startupów?
Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

W jaki sposób startupy Edtech pomagają w podnoszeniu umiejętności i przygotowują pracowników na przyszłość
Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

Ponadto w związku z Covid-19 wprowadzono pewne środki, takie jak rejestracja temperatury i kontrola pracowników i odwiedzających, ale w większości przypadków zostały one wykonane bez odpowiednich zabezpieczeń i przestrzegania zgodności. Innym niepokojącym obszarem jest brak inwestycji w cyberbezpieczeństwo oraz brak kompetentnego personelu zajmującego się takimi sprawami jak bezpieczeństwo danych.

Co można zrobić?

Mapowanie danych

Większość organizacji nie ma nawet podstawowej wiedzy na temat gromadzonych danych, nie mówiąc już o przyczynach i celach takiego gromadzenia. Mogą one być szczególnie szkodliwe w sektorach zorientowanych na klienta, takich jak handel detaliczny, które gromadzą dane w tempie węzłów, ale nie przeprowadzają nawet szczątkowego audytu praktyk dotyczących danych. Podstawową praktyką, która może stanowić podstawę solidnego systemu postępowania z danymi w organizacji, jest analiza rodzaju i ilości przetwarzanych danych oraz mapowanie ich do celów i potencjalnych działów, które mogą wymagać dostępu do takich danych.

Pytania do rozważenia

  • Jak ważne są dane dla biznesu? Jeśli dane nie są wymagane dla biznesu, dlaczego są gromadzone?
  • Jeśli dane są zasobem tak samo jak zasób fizyczny, kto powinien mieć dostęp i jak powinien być chroniony w organizacji?

Budowanie potencjału organizacyjnego

W silosach najlepiej nie myśleć o prywatności i ochronie danych. Chociaż oczywiste jest, że mylenie CISO z CTO nie jest szczególnie dobrym odzwierciedleniem zdolności organizacyjnych, ostatecznie każda osoba zaangażowana przez organizację musi być wyczulona, ​​aby zrozumieć wartość ochrony danych. Kroki, takie jak regularne sesje szkoleniowe i jasne zasady korzystania z urządzeń i sieci w organizacji, mogą być niezwykle opłacalnymi rozwiązaniami zapewniającymi zgodność.

Pytania do rozważenia

  • Czy istnieje polityka obejmująca odpowiedzialność pracownika za zapewnienie poufności danych zastrzeżonych i informacji o klientach?
  • Czy istnieje jakaś macierz odpowiedzialności z wyraźnym przypisaniem odpowiedzialności konkretnemu personelowi za zapewnienie ochrony danych w organizacji?

Znaczenie dla cyberbezpieczeństwa

Organizacje są często zniechęcone kosztami wdrażania takich rozwiązań, ale bez nich jakikolwiek wysiłek w kierunku ochrony danych byłby pustym wysiłkiem. Co ciekawe, wiele organizacji nie bierze pod uwagę standardów cyberbezpieczeństwa stosowanych przez ich dostawców IT, takich jak dostawcy chmury. Organizacje korzystające z wewnętrznego działu IT mogą rozważyć przeprowadzenie analizy luk, aby zrozumieć istniejący poziom zgodności i obszary, w których one nie spełniają. Stanowiłoby to punkt wyjścia do podjęcia decyzji o poziomach ochrony danych, do których organizacja może dążyć, przy jednoczesnym zachowaniu istotnych kwestii handlowych.

Pytania do rozważenia

  • Czy istnieje mechanizm audytu dostawców IT/chmury pod kątem ich standardów cyberbezpieczeństwa?
  • Czy istnieją jasne zasady i środki w przypadku naruszenia/cyberataku, takie jak ciągłość działania i odzyskiwanie?

Wniosek

Covid-19 już zmusił organizacje do cyfrowego skoku i już okazuje się być wyzwaniem. Jednak indyjskie ramy prawne dotyczące prywatności i ochrony danych wkrótce zrobią milowy krok w postaci ustawy o ochronie danych osobowych z 2019 r., która jest obecnie rozpatrywana przez Wspólną Komisję Parlamentarną. Teraz jest kluczowy moment dla organizacji, aby aktywnie rozważyć zmianę istniejących praktyk i zapoczątkować nowy świt, w którym ich biznes może się rozwijać, gdy pandemia Covid-19 będzie już za nami.

[Artykuł był współautorstwem Supratim Chakraborty (partner) i Sumantra Bose (Senior Associate) w Khaitan & Co]