Récemment, Aditya Birla Fashion and Retail Ltd (ABFR) a été confrontée à une violation de données majeure sur son portail de commerce électronique.Selon les rapports, les informations personnelles de plus de 5.4 millions d'utilisateurs de la plate-forme ont été rendus publics.La fuite de données de 700 Go comprenait les détails personnels des clients comme les historiques de commande, les noms, les dates de naissance, les informations de carte de crédit, les adresses et les numéros de contact.De plus, des détails tels que les salaires, la religion, l'état matrimonial des employés ont également été divulgués.Les experts médico-légaux et de sécurité des données ont été engagés de manière proactive pour mettre en œuvre les mesures de contrôle des dommages nécessaires et lancer une enquête détaillée sur la question.[1] Cela démontre la nécessité d'avoir une conscience plus large et d'établir des protocoles standardisés pour la gestion des données personnelles.
La bataille de la protection des données et de la vie privée se dresse actuellement à une juxtaposition avec une économie de données florissante. 2021 was a watershed moment in the privacy & data protection dialogue in the country.La nécessité d'une loi complète sur la protection des données était plus forte que jamais et il y avait des initiatives majeures sur le front législatif et exécutif.
En juin 2021, le Bureau of India Standards (BIS) introduit est 17428 pour l'assurance de la vie privée des données.Il s'agit d'un cadre de confidentialité conçu pour les organisations afin de gérer les données personnelles des individus qu'ils collectent ou traitent.La certification fournie par BIS For IS 17428 peut être considérée comme une assurance étendue aux clients / utilisateurs par les organisations d'une pratique de confidentialité bien impliqué.Le BIS étant un organisme standard créé par la loi de notre pays apportera un changement bienvenu dans notre gestion des données.
Est 17428 est divisé en 2 parties [2]:
The Context – Privacy & Data Protection laws in India
Le projet de loi sur la protection des données devrait être déposé au Parlement en 2019, mais a été reporté en raison de la pandémie en cours.Le pays espérait adopter le projet de loi l'année dernière, cependant, il a été envoyé au comité conjoint du Parlement (JPC) pour une lecture.Le JPC a rendu son rapport sur le projet de loi au cours du mois de décembre 2021.
De plus, les règles de technologie de sécurité (pratiques de sécurité raisonnables et de données ou d'informations personnelles sensibles, 2011, ont été mises en œuvre en 2011, principalement pour protéger les données personnelles sensibles des individus qui sont collectés, traités, transférés ou stockés par toute organisation etÉnumérer les pratiques de sécurité.La règle établit certaines pratiques et procédures à suivre par une partie prenante tout en traitant des données personnelles sensibles.La norme internationale est / ISO / IEC 27001 est l'une de ces normes acceptables.
Plus tard, ISO27701 a été spécifiquement introduit qui a concentré sur la gestion de l'information sur la vie privée.Cependant, notre promulgation indien n'a pas spécifiquement approuvé de telles normes, bien que les normes formulées par l'association de l'industrie soient approuvées et notifiées par le gouvernement central sont également jugées appropriées.Dans ce contexte, BIS introduisant une norme est une initiative bienvenue car elle aidera à apporter l'uniformité en termes de mise en œuvre des pratiques de confidentialité dans les industries indiennes.
Développement des exigences de confidentialité:
Tout en développant les exigences de confidentialité de l'organisation en relation avec les données collectées ou traitées, l'organisation doit prendre en considération divers facteurs tels que la juridiction, les exigences légales et les besoins commerciaux.
Collecte et limitation des données personnelles:
L'organisation est autorisée à recueillir les informations personnelles des individus, à condition que la même chose ait été consenti par ces personnes.
Avis de confidentialité:
L'organisation est tenue de fournir un avis aux individus tout en collectant des informations auprès d'eux et lorsque une telle collection se fait par une méthode indirecte employée par l'organisation, il est alors le devoir de transmettre par le même par un moyen sans ambiguïté et légitime.
Le contenu d'un avis de confidentialité au minimum doit inclure les éléments suivants [4]:
Choix et consentement:
Comme mentionné précédemment, lors de la collecte d'informations, l'organisation devrait obtenir le consentement de l'individu lors de l'initiation du processus tout en offrant à ces personnes le choix des informations qu'ils consentent à divulguer.Ce processus entier doit être effectué de manière légale et selon les politiques de confidentialité mises en œuvre par l'organisation.
Précision des données:
Les données recueillies par l'organisation doivent être exactes, et dans le cas où elles sont inexactes, elles doivent être corrigées rapidement.
Utiliser la limitation:
Les données recueillies par l'organisation doivent être utilisées à des fins légitimes pour lesquelles elles ont été convenues et elle ne doit pas être utilisée à d'autres fins.
Sécurité:
L'organisation doit mettre en œuvre un programme de sécurité strict pour s'assurer que les informations collectées ne sont pas violées ou compromises de quelque manière que ce soit.
Système de gestion de la confidentialité des données:
L'organisation est tenue d'établir un système de gestion de la confidentialité des données (DPMS).Le DPMS doit agir comme un point de référence et une base de référence pour les exigences / objectifs de confidentialité de l'organisation.
Objectifs de confidentialité:
L'objectif de confidentialité de l'organisation est fixé et énoncé par l'organisation elle-même.Tout en déterminant les objectifs, l'organisation doit également examiner divers facteurs tels que la nature des opérations commerciales impliquant le traitement du RGPD des informations personnelles, le domaine de l'industrie, le type de individus, dans quelle mesure les informations traitées sont externalisées et les informations personnelles collectées.De plus, l'organisation doit également s'assurer que les objectifs sont alignés sur sa politique de confidentialité, ses objectifs commerciaux et la distribution géographique de ses opérations.
Limitation de stockage des données personnelles:
L'organisation est autorisée à conserver les informations collectées auprès de la personne uniquement pour une période spécifique comme l'exige la loi ou l'achèvement de l'objectif pour lequel il a été collecté en premier lieu.La personne a le droit de supprimer ses informations personnelles de la base de données de l'organisation sur demande.
Politique de confidentialité:
L'organisation doit créer et mettre en œuvre une politique de confidentialité qui déterminera la portée et s'applique à toutes ses sociétés commerciales.La haute direction de l'organisation est en charge de la fonction de confidentialité des données.De plus, la politique de confidentialité devrait être conforme aux objectifs de confidentialité de l'organisation.
Records et gestion des documents:
L'organisation doit conserver un enregistrement de ses activités de traitement qui, à leur tour, assurent la responsabilité de la conformité de la confidentialité des données.La façon possible d'atteindre une telle norme est de mettre en place des procédures qui aident à identifier divers enregistrements.Pendant la mise en place des procédures, l'organisation doit prendre en considération certains facteurs tels qu'un enregistrement des journaux qui démontrent une action positive et des options choisies par les individus sur le consentement et le préavis de confidentialité, la preuve de capture des événements liés à l'accès ou à l'utilisation des informations personnelles, et une période de rétentionde documents obsolètes.
Évaluation de l'impact sur la confidentialité:
Une évaluation d'impact sur la vie privée sera effectuée de temps à autre par l'organisation.Une telle évaluation aide à estimer les changements et l'impact qu'ils peuvent avoir sur la confidentialité des données des individus.
Gestion des risques de confidentialité:
L'organisation doit mettre en place et documenter une méthodologie de gestion des risques de confidentialité.La méthodologie doit déterminer comment les risques sont gérés et comment les risques sont maintenus à un niveau acceptable.
Réception des griefs:
Un mécanisme de réparation des griefs doit être établi par l'organisation pour gérer rapidement les griefs des individus.L'organisation doit s'assurer que les coordonnées du responsable des griefs doivent être affichées ou publiées et qu'ils ont le canal de la réception des plaintes des individus.De plus, l'organisation doit également indiquer clairement la disposition d'escalade et d'appel et les délais de résolution du grief.
Audits périodiques:
L'organisation doit effectuer des audits périodiques du système de gestion de la confidentialité des données.L'audit doit être mené par une autorité indépendante compétente dans la confidentialité des données, interne ou externe à l'organisation, à une périodicité appropriée pour l'organisation, au moins une fois par an.
Gestion des incidents de confidentialité:
Les violations de confidentialité et les incidents de confidentialité doivent être signalés régulièrement et l'organisation doit proposer un mécanisme pour gérer ces incidents.Le processus doit impliquer l'identification de l'incident au premier stade et enquêter sur la cause profonde, en préparant l'analyse et en corrigeant les incidents dans la deuxième étape.La dernière étape consiste essentiellement à informer les principales parties prenantes, y compris les données de la confidentialité, la violation ou l'incident.
Gestion de la demande des sujets de données:
L'organisation doit développer un mécanisme pour répondre aux demandes de personnes concernant leurs données personnelles.Ce processus doit inclure les moyens de vérifier l'identité de l'individu, l'accès à fournir aux informations et les moyens de mettre à jour les informations.
Comment 17428 aiderait-il à la confidentialité et à la protection des données?
Les règles des technologies de la technologie de l'information (pratiques et procédures de sécurité raisonnables et des données ou informations sensibles personnelles), 2011 (règles RSPP et SPDI) avaient été la seule loi pour les organisations à suivre.Les règles ne prescrivent ni ne détaillent aucune exigence ou norme spécifique concernant la gestion des données personnelles et en l'absence de normes formulées pour la protection des données personnelles sensibles des particuliers, les organismes de l'industrie avaient du mal à avoir des procédures uniformes.
Cela étant le cas, l'introduction de normes spécifiques pour la gestion des données personnelles apportera plus de clarté et aidera les entreprises à respecter une norme approuvée prescrite par une agence gouvernementale.De plus, les principes racontés dans la présente norme sont conformes aux principes de confidentialité reconnus internationalement et aideront les entreprises indiennes à offrir la confiance lorsqu'ils traitent avec leurs homologues commerciaux.
L'introduction de la gestion des enregistrements et des documents, l'évaluation des risques et la gestion des demandes de sujets de données sont quelques-uns des aspects qui apportent des responsabilités onéreuses sur les entreprises qui les rendent plus responsables et transparentes.Ces aspects ont établi des procédures et des mécanismes pour une organisation afin d'améliorer leur gestion de la vie privée, par exemple, l'introduction de processus tels que la vérification de l'identité, l'accès à l'information, les preuves de capture des événements de consentement et la période de rétention des documents obsolètes.
La législation proposée sur la protection des données et l'EI 17428
La norme IS 17428 a été inspirée principalement des principes dictés par les principes de confidentialité de l'OCDE, le RGPD et l'ISO27701.La législation proposée sur la protection des données a en revanche de nombreuses divergences des instruments ci-dessus à bien des égards.Par exemple, la norme IS a une description élaborée fournie pour l'objectif de confidentialité de l'organisation et les facteurs qui doivent être pris en compte.La plupart de ces objectifs sont couverts par les articles 22 et 23 du projet de loi, mais néanmoins, la norme a recommandé quelques autres facteurs tels que le fonctionnement géographique, le domaine industriel et le type d'individus en tant que facteurs spécifiques à prendre en considération tout en rédigeant les objectifs de confidentialité.Combien de normes de confidentialité discrétionnaires peuvent être créées, ce qui est autorisé à obtenir la liberté des industries à cet égard n'est pas claire.
L'article 28 du projet de projet de loi parle des enregistrements et de la gestion des documents des données collectées ou traitées et les couvre-normes presque tous les morceaux de la section.En plus de la contrepartie mentionnée par le projet de loi, la norme va de l'avant et fait écho à la nécessité d'établir une politique sur la préservation des politiques obsolètes et des documents de traitement.Les données et la tenue des registres devraient être pour une période définie.La majorité des autres lois prescrivent en moyenne 7 ans de maintien des données.Garder des données au-delà d'une période aussi raisonnable peut ne pas servir à plusieurs fins.Pourquoi cette norme a prescrit une telle rétention des données obsolètes n'est pas claire.
La norme pourrait être rendue efficace en n'ayant une promulgation à la législation sur la protection des données en place.Par exemple, le mécanisme de réparation des griefs, bien que les normes envisagent un mécanisme d'appel, ils n'établissent pas de machines d'appel.Cette partie de la norme ne peut être utilisée qu'après que l'autorité de protection des données selon l'article 32 est constituée.La norme prévoit également un processus d'enquête en cas de violation ou de compromis de données.L'organisation est invités à mener une enquête sur place ou interne sur la violation ou les incidents, mais encore une fois une autorité indépendante pour enquêter de manière légitime et équitable est requise.
En bref, je le crains, il n'a pas pris en compte les exigences particulières envisagées en vertu du PDPB, 2019 qui pourrait éventuellement devenir la loi du pays ainsi, une fois cette loi adoptée, cette norme devra également être modifiée.Le gouvernement n'a fait aucune annonce conformément aux règles RSPP et SPDI, c'est-à-dire 17428 est une norme appropriée certifiant la conformité de la gestion des données personnelles.En l'absence d'une telle approbation explicite, l'ambiguïté continue de savoir si l'adoption de cette norme est une conformité suffisante en vertu desdites règles.
Enfin, avec le projet de loi sur la protection des données au coin de la rue, la Data Protection Authority envisageait d'être constituée en vertu de la législation qui aura le pouvoir d'émettre du code, des directives et des meilleures pratiques pour protéger la confidentialité des sujets de données.Comment les normes 17428 encadrées par la BIS seront-elles examinées par la DPA ou la règle proposée offrira un ensemble différent de pratiques sera un développement intéressant à observer.
