Digital Personal Data Protection Act 2023: Mitä se tarkoittaa Intian rahoituspalvelusektorille

Mirka
Digital Personal Data Protection Act, financial services sector, data minimization, accountability, cyber risk management, regulators, money laundering, fintech, cyber security

”Data on uusi öljy” on termi, jota on käytetty huonosti kuvaamaan datan arvoa yrityksille. Intian talouden lisääntyvä digitalisoituminen ja viimeaikainen teknologinen kehitys ovat yhdessä johtaneet yksilöiden henkilötietojen saatavuuden (”Data Principal”) ja niiden käsittelyn räjähdysmäiseen kasvuun yrityksissä (Data Fiduciary). Tässä yhteydessä digitaalisen henkilötietojen suojalain (DPDPA) lainsäädäntö on ajankohtainen. Laki perustuu oikeudenmukaisuuden, käyttötarkoituksen rajoittamisen, tietojen minimoinnin, säilytysrajoituksen, tietojen tarkkuuden, luottamuksellisuuden, eheyden ja saatavuuden periaatteisiin ja edellyttää tiukempaa vastuuvelvollisuutta niin tietojen luottamushenkilöiltä, ​​tietojen käsittelijöiltä kuin tietojen päättäjiltäkin.

Financial Services (FS) on yksi Intian säännellyimmistä sektoreista. Sääntelyviranomaiset ovat muun muassa asiakassuojaa ja tietosuojaa, ulkoistamista, tietoturvaa, teknologiaa ja kyberriskien hallintaa koskevilla ohjeilla korostaneet monia näkökohtia, jotka on nyt kodifioitu DPDPA:han. Lisäksi sektorin toimijat ovat myös rahanpesun torjuntalain (PMLA) mukaisia ​​”raportoijia”, jotka velvoittavat raportoivien tahojen keräämään ja säilyttämään tiettyjä tietoja. Näiden kahden lain risteytys edellyttää finanssialan toimijoilta monipuolisempaa lähestymistapaa DPDPA:n noudattamiseen verrattuna sääntelemättömiin yhteisöihin. Koska alalla on yleisesti ottaen ollut pitkä historia sääntelijöiden asettamien tiukkojen yksityisyyttä ja tietosuojaa koskevien sääntöjen noudattamisessa, niiden lähestymistapa ja yksityiskohtaiset menettelyt noudattamiseen ovat todennäköisesti kypsempiä kuin muiden alojen yritysten.

Seuraavat ovat rahoituspalveluyritysten keskeiset toiminnot ja prosessit, joihin DPDPA vaikuttaa:

Riskienhallinta on monien finanssipalveluyritysten perusta, sillä niiden ydinliiketoiminta on riskien transformaatio. Rahoituslaitokset käyttävät asiakkaisiin liittyviä tietoja useista lähteistä, mukaan lukien ei-perinteisistä vaihtoehtoisista tietokokonaisuuksista, auttaakseen arvioimaan asiakkaiden ja asiakkaiden aiheuttamiin tapahtumiin liittyviä riskejä. Näin yritykset voivat hinnoitella luottoriskin asianmukaisesti, tehdä vakuutuksia tehokkaasti ja arvioida petokseen liittyviä riskejä ottaakseen käyttöön muun muassa sopivan petosriskimoottorin. Yritysten on nyt arvioitava kriittisesti, mitä tietopisteitä näitä tarkoituksia varten kerätään, tunnistettava keruun laillinen perusta ja hankittava erityinen suostumus asiakkailta. Koska asiakas voi evätä suostumuksen tai peruuttaa sen milloin tahansa, tämä voi vaikuttaa haitallisesti riskinhallintatoiminnon tehokkuuteen, ja siksi yritysten on valmistauduttava tällaisten tapahtumien hallintaan ja niiden on ehkä tarkistettava tuotteidensa hinnoittelua ilman tällaisia ​​datapisteitä.

FS-alan yritykset ulkoistavat useita toimintoja kolmansille osapuolille ja ovat viime aikoina tehneet yhä enemmän yhteistyötä Fintechin kanssa. Alakohtaiset sääntelijät ovat laatineet yksityiskohtaiset ohjeet ulkoistusriskin hallintaan, ja asiakastietojen ja yksityisyyden hallinta on keskeinen näkökohta. DPDPA:n mukaan tietojen uskottaville henkilöille asetettavat velvoitteet, joilla on lopullinen vastuu osoittaa lain noudattaminen, ovat kuitenkin merkittäviä ja ylittävät lainsäädännölliset valtuudet. Yritysten on tarkasteltava uudelleen ulkoistusjärjestelyjään, tarkistettava ulkoistettujen yksiköiden asiakastietojen hallintaprosessit ja mukautettava hallintokehyksensä vaatimustenmukaisuuden hallintaan.

DPDPA on tuonut uusia vaatimuksia, oikeuksia ja velvollisuuksia, joita yritysten on noudatettava käsitellessään asiakastietoja koko matkansa ajan. Asiakaslähtöisyys, riskien arviointi ja profilointi, markkinointi ja asiakassitoutuminen, asiakaspalvelu, tietojen pääoikeuksien hallinta ja asiakassuhteen lopettaminen ovat keskeisiä näkökohtia asiakkaan elinkaaren hallinnassa, jotka tulevat muuttumaan merkittävästi.

Tuotehallintatoimintoon tulee sisällyttää tuotesuunnitteluelementtejä, jotka korostavat tietosuojaa, läpinäkyvyyttä ja tiedon pääoikeuksia. Tärkeimmät näkökohdat toiminnalle, joka koskee sellaisten tuotteiden kehittämistä, joissa on ”sisäänrakennetun yksityisyyden suojan” elementtejä, vankka mekanismi käyttäjän suostumukseen ja viestintään, yksinkertaiset käyttäjähallinta- ja avoimuusnäkökohdat, hyvin määritelty asiakastietojen käyttöä koskeva käytäntö ja tietosuoja ja säilytysnäkökohdat.

DPDPA:n vahva painotus henkilötietojen suojaan ja yksilöiden oikeuksiin vaikuttaa suoraan siihen, miten nämä yritykset hallitsevat IT-järjestelmiään ja turvaavat asiakastietoja. Rahoituslaitoksille on uskottu runsaasti henkilökohtaisia ​​ja taloudellisia tietoja, mikä tekee niistä houkuttelevan kohteen kyberrikollisille. Lain säännökset painottavat tiukkojen kyberturvallisuustoimenpiteiden tarvetta, mikä saattaa edellyttää rahoituspalveluyritysten investoimista kehittyneisiin uhkien havaitsemisjärjestelmiin, vankoihin salausprotokolliin ja säännöllisiin tietoturvatarkastuksiin. Näin toimielimet voivat luoda ympäristön, jossa asiakkaiden tiedot on suojattu luvattomalta käytöltä ja mahdollisilta tietomurroilta.

DDPA toteaa, että merkittävät datan luottamushenkilöt on tunnistettava, ja odotamme, että rahoituspalvelujen ekosysteemi merkitään ”merkittäviksi” ja sillä on siten laaja valikoima lain mukaisia ​​velvollisuuksia. Odotamme rahoituspalvelualan sääntelyviranomaisten ottavan käyttöön DDPA:n ja mukauttavan sen alatoimialoihin, joita ne sääntelevät asianmukaisin sääntelyohjein. Myös sääntelijöiden kannattaisi kouluttaa valvontahenkilöstöään näille uusille alueille vahvemman ja järeämmän valvonnan saavuttamiseksi.

Intialaiset fintech-yritykset ovat muuttaneet nopeasti FS-ympäristöä tekemällä yhteistyötä vakiintuneiden säänneltyjen yksiköiden (RE) kanssa ja hyödyntämällä asiakastietoja toimittaakseen heille hyperräätälöityjä tuotteita edulliseen hintaan digitaalisesti. DPDPA:n mukaan fintech-yritykset luokitellaan ”tietojen käsittelijöiksi”, ja niiden on noudatettava tietojen luottamushenkilöitä koskevia vaatimuksia. Tulevaisuudessa RE–Fintech-kumppanuusmalli nollataan, jolloin RE:t valvovat nyt entistä enemmän fintechin tiedonhallintakäytäntöjä. Fintech-yritykset, joilla on ylivoimaiset tiedonhallintaprosessit, ovat RE:n haluttuja kumppaneita, ja ne menestyvät uuden tietojärjestelmän puitteissa.

Lopuksi vuoden 2023 digitaalisten henkilötietojen suojalaki tulee maan vedenjakajaksi ja antaa yksilöille mahdollisuuden hallita tietojaan. Vaikka laki antaa yksilöille valtuudet, ellei suhtautumisemme yksityisyyteen ja tietoon hyödykkeenä muutu merkittävästi, sillä ei välttämättä ole toivottua vaikutusta. Laki tarjoaa rahoituslaitoksille ainutlaatuisen mahdollisuuden parantaa tietoturvaa, rakentaa asiakkaiden luottamusta ja olla edelläkävijä vastuullisissa tiedonhallinnassa. Hyväksymällä lain säännökset rahoituspalveluyritykset voivat paitsi navigoida muuttuvassa lainsäädännössä, myös asettua asiakastietojen vartijoiksi yhä enemmän toisiinsa kytkeytyvässä ja datavetoisessa maailmassa.

Mirka
Mirka

Mirka Järvinen, kokenut toimittaja Matin Markkassa, muuntaa talouden monimutkaisuudet saavutettaviksi analyyseiksi. Hänen intohimonsa rahoituksen demokratisointiin ohjaa kirjoituksiaan, tehden hänestä luotettavan ja inspiroivan lähteen kaikille.

Samankaltaiset artikkelit