Privatnost podataka i usklađenost s bankarstvom: GDPR u odnosu na indijske zakone
Privatnost podataka i usklađenost banaka prema GDPR-u EU-a i zakonima o zaštiti podataka u Indiji Sažetak: Porast elektroničkog bankarstva povećao je zabrinutost oko privatnosti podataka, potičući regulatorne promjene kao što su Opća uredba EU-a o zaštiti podataka (GDPR) i indijski Zakon o zaštiti digitalnih osobnih podataka (2023. ). GDPR, koji je na snazi od 2018., osigurava stroge standarde zaštite podataka za tvrtke koje postupaju s podacima građana EU-a, uključujući upravljanje pristankom, prenosivost podataka i obavijesti o povredama. Nepoštivanje može dovesti do ozbiljnih kazni. Indijski novi zakon, crpeći inspiraciju iz GDPR-a, naglašava lokalizaciju podataka, zahtijevajući da se osjetljivi osobni podaci pohranjuju unutar Indije, te uvodi slične zahtjeve za pristanak i obavijesti o kršenju. Banke se suočavaju s izazovima u usklađivanju s obje uredbe, posebno zbog proturječnih zahtjeva za lokalizaciju podataka, prekograničnog prijenosa podataka i upravljanja pravima nositelja podataka. Kako bi osigurale usklađenost, banke usvajaju strategije kao što su imenovanje službenika za zaštitu podataka (DPO), ulaganja u enkripciju i anonimizaciju te provođenje redovitih revizija i procjena rizika. Unatoč ovim izazovima, financijske institucije moraju ostati na oprezu, poboljšati sigurnosne mjere i izgraditi kulturu usklađenosti kako bi održale povjerenje korisnika i pridržavale se standarda zaštite podataka koji se razvijaju. UVOD Porast elektroničkog bankarstva stvorio je privatnost podataka kao značajan problem s kojim se suočava većina financijskih institucija diljem svijeta. Među njima, Opća uredba o zaštiti podataka (GDPR) u Europskoj uniji i nedavno doneseni Zakon o zaštiti digitalnih osobnih podataka u Indiji promijenili su način na koji banke upravljaju, obrađuju i održavaju osobne podatke klijenata. Ovaj članak detaljno ispituje te zakone i istražuje specifične odredbe, probleme s usklađenošću koji postoje i strategije koje koriste različite banke u odnosu na te zakone. Kao rezultat toga, ova vrsta članka, koristeći navedeni pogled na specifičnosti upravljanja zaštitom podataka u kontekstu bankarstva, namjerava rasvijetliti promjene u usklađenosti bankarskih organizacija s novim standardima o sigurnosti podataka i privatnosti. PREGLED GDPR-a I ZAKONA O ZAŠTITI PODATAKA U INDIJI GDPR koji je stupio na snagu 2018. može se opisati kao široka uredba o zaštiti podataka za svaku tvrtku koja obrađuje podatke koji se odnose na građane EU-a, bez obzira na zemljopisni položaj tvrtki. GDPR nalaže određenu najvišu razinu mjera zaštite kao što su pristanak korisnika, pravo na brisanje, pravo na prenosivost podataka i mjere zaštite podataka. Posljedice nepoštivanja GDPR-a su teške i kaznene, s mogućim kaznama do 20 milijuna eura ili 4% svjetskog prometa, ovisno o tome što je veće. Ove stroge zabrane posebno su ključne za banke jer rade s velikim količinama osobnih podataka i pridržavaju se visokih standarda GDPR-a. Iz indijske perspektive, trendu se priklonio Zakon o zaštiti digitalnih osobnih podataka iz 2023., čiji je cilj osigurati pravno priznanje za zaštitu podataka koji se odnose na građane. Neke od njegovih odredbi obvezuju pohranjivanje podataka unutar Indije ili kod tvrtke koja posluje u ovoj zemlji – lokalizacija podataka (odjeljak 17), odredbe koje se odnose na (odjeljak 7) – upravljanje pristankom, način dobivanja pristanka korisnika ili samo o njezinom kršenju, odredbe koje zahtijevaju od banaka da obavijeste indijske vlasti o svojim povredama podataka. Zakon je također predvidio (Odjeljak 22) tijelo za zaštitu podataka, također poznato kao DPA, koje ima ulogu provedbe u provedbi. Iako proizlaze iz GDPR-a, indijski zakon ima neke razlike – lokalizaciju podataka i ograničenja ograničenja prekograničnog prijenosa podataka (odjeljci 17 i 18), i doista će predstavljati određene probleme bankama koje posluju u inozemstvu. IZAZOVI U BANKARSKOJ USKLAĐENOSTI S GDPS-om I INDIJSKIM ZAKONIMA O ZAŠTITI PODATAKA Prvo područje koje je predstavljalo značajan problem za banke u ovim okvirima je lokalizacija podataka. GDPR dopušta slobodan prijenos podataka unutar država članica Europske unije, ali regulira prekogranične prijenose u treće zemlje. S druge strane, indijski zakoni o zaštiti podataka ističu činjenicu da se osjetljivi osobni podaci moraju pohraniti u zemlji, što se pokazalo nezgodnim za veće banke koje koriste prekogranični prijenos podataka. Korištenje dvaju okvira komplicira zahtjeve za pohranu i obradu podataka za identificirane banke koje posluju u prekograničnim strukturama i dovodi do povećanja operativnih troškova. Neke druge brige za banke uključuju prava i pristanak ispitanika. Banke zemalja EU trebaju prethodnu suglasnost korisnika za obradu podataka temeljem GDPR-a te moraju postupiti po zaprimljenim zahtjevima za pristup ili brisanje podataka. Indijski zakon također je donio slične zahtjeve temeljene na pristanku, ali promjena će možda trebati specifičnije pristupe. Za banke, ovi propisi podrazumijevaju ne samo poboljšanje tehnika za dobivanje pristanka, već i izgradnju načina obrade zahtjeva za pristup podacima i brisanje od strane klijenata. Nekim bankama, posebno onima s velikom količinom podataka i nizom operacija, to može biti vrlo teško jer implementacija takvih sustava može oduzeti puno vremena i novca. Posljednja dva područja su pristanak i upravljanje pravima na podatke, osim usklađenosti, što je složeno područje zbog rigoroznih zahtjeva za obavještavanje o povredi podataka. Komunikacija s nadzornim tijelima potrebna je kod utvrđivanja povrede podataka, prema GDPR-u, u roku od najviše 72 sata, uz naglasak da je potrebna brza reakcija. Indijski zakon koji regulira zaštitu podataka također naglašava obavijesti o kršenju, iako može sadržavati određene postupke. Ovi kriteriji potiču banke na izgradnju učinkovitih sustava za potvrde i upravljanje događajima i obično su visoki u smislu arhitekture kibernetičke sigurnosti i razvoja osoblja. PRISTUPI/STRATEGIJE BANKAMA ZA OSIGURANJE SUKLADNOSTI Banke koriste različite tehnike kako bi pristupile ovim propisima o zaštiti podataka. Među prvima je imenovanje službenika za zaštitu podataka (DPO), što je obavezno prema GDPR-u i preferirano prema indijskom zakonu. Oni su u velikoj mjeri odgovorni za bavljenje politikama o privatnosti podataka, rukovanje traženim podacima i osiguravanje da su banke u skladu s propisanim zakonima. Za multinacionalne banke, imenovanje DPO-a također može pružiti učinkovit način poslovanja s regulatorima i klijentima u različitim zemljama. Također je primjećeno da uz imenovanje DPO-a, banke također ulažu značajan novac u sigurnosne mjere podataka poput enkripcije i anonimizacije. Enkripcija čini podatke nedostupnima onima koji nisu ovlašteni, dok anonimizacija briše osjetljive informacije ako dođe do povrede. Obuka zaposlenika također je važna kako bi se osoblje dobro informiralo o njihovim obvezama u rukovanju korporativnim podacima i otkrili potencijalno nemarni radnici. Neke od mjera koje poduzimaju mnoge banke koje smo ispitali uključuju provođenje čestih revizija kojima se provjeravaju potencijalni rizici i također često provođenje procjene utjecaja na zaštitu podataka (DPIA). Prekogranični protok podataka ili međunarodni prijenos podataka još je jedno područje interesa, posebno u vezi s prijenosom prema GDPR-u. Za prijenos podataka izvan EU-a na zakonit način, bankama je također dopušteno koristiti standardne ugovorne klauzule (SCC) i ugovore o zaštiti podataka za dodjelu takvih podataka. Iako u Indiji postoje domaći zakoni o zaštiti podataka, domaći standardi lokalizacije podataka razlikuju se od globalnih, a indijske banke su u procesu usklađivanja s ICT okvirom dok provode najbolje prakse u zaštiti podataka. Kombinirani pristup pomaže bankama da se suzdrže od rizika usklađenosti i dalje podržavaju svoje klijente u obavljanju njihovih aktivnosti diljem svijeta. ZAKLJUČAK Zaštita podataka, posebice u bankarskom sektoru, dinamičan je čimbenik koji zahtijeva kontinuiranu skrb institucija. Oba moderna zakonodavstva, poput GDPR-a i indijskih zakona o zaštiti podataka, pružaju razrađene instrumente za zaštitu podataka i sigurnost podataka potrošača, ali također podrazumijevaju veliki skup obveza za banke. Kako bi zaobišle te propise, banke bi trebale osigurati da angažiraju ovlaštene DPO-e, poboljšati svoje sigurnosne mjere i postaviti učinkovite mehanizme za upravljanje podacima. S nedavnim napretkom u regulaciji privatnosti podataka, institucije u financijskoj industriji morat će ostati na oprezu dok izgrađuju kulturu usklađenosti i ostaju inovativne u svojim najboljim praksama kako bi osigurale povjerenje klijenata unutar vrlo reguliranog sektora. Napomene:- 1 Uredba – 2016/679 – en – GDPR – EUR-lex, EUR (2016), https://eur-lex.europa.eu/eli/reg/2016/679/oj (posljednji put posjećeno 20. listopada, 2024). 2 Zakon o digitalnoj zaštiti osobnih podataka iz 2023. | Ministarstvo elektronike i informacijske tehnologije, Vlada Indije (2023.), https://www.meity.gov.in/content/digital-personal-data-protection-act-2023 (zadnji put posjećeno 2. studenog 2024.).