Veri Gizliliği, Veri Güvenliği, Standartlar, Düzenlemeler ve Uyumluluk
Veri işleme konusundaki zıt yasalar, düzenlenmiş varlıklara yeni zorluklar getiriyor
Shruti Dvivedi Sodhi, Lovina Ropia •
28 Mart 2025
Hindistan Sigorta Düzenleyici ve Kalkınma Otoritesi – Irdai – Uzun zamandır sigorta ile ilgili verilerin hassasiyetini kabul etti ve sigorta e -ticareti, 2017, 2017, 2017 için bilgi ve siber güvenlik yönergeleri, daha sonra bilgi ve siber güvenlik kılavuzları, 2023 – siber güvenlik kılavuzları ile değiştirildi, bu da siber güvenlik kuralları ve entegre bir çerçeve sağlayan siber güvenlik kılavuzları. Ancak DPDP Yasası, 2023, şimdi kişisel verilerin işlenmesi için güvenilir ve daha güvenli bir ortamın oluşturulmasını zorunlu kılmaktadır.
Ayrıca bakınız: Web Semineri | Modern işletmeler kapsamlı kimlik güvenliği programları gerektirir: Kimlik güvenliğinde liderden en iyi uygulamalar
DPDP Yasası, işletmeler arasında kişisel veri işlemenin ihtiyaçlarını karşılamak için “veri güvene dayalı”, “veri müdürü” ve “kişisel veriler” dahil olmak üzere temel terminoloji için geniş tanımlar sunar. Aksine, siber güvenlik yönergeleri, hepsi DPDP Yasası tarafından belirlenen daha geniş tanımlara giren “poliçe sahibi verileri”, “düzenlenmiş kuruluşlar” ve “kayıtlar” gibi sigortaya özgü terminolojiler kullanır.
DPDP Yasası aşırı veri koruma ilkeleri belirlerken, IRDAI’nin yönergeleri sektöre özgü kontroller sunmaktadır. Siber güvenlik yönergelerinin ve DPDP Yasası hükümlerinin daha yakından incelenmesi, aşağıdaki alanlarda varyasyonları ortaya koymaktadır.
Bildirim Gereksinimleri
DPDP Yasası uyarınca, kişisel verilerini işlemek için kişisel verileri işlenen birey olan bireyden onay almak için, kişisel verilerin işleme amacını ve araçlarını belirleyen kişi veya varlık – bir bildirim vermek için gereklidir. Bildirim, diğer gereksinimlerin yanı sıra, aşağıdakileri içermelidir:
- İşlenen belirli kişisel veriler;
- İşleme amacı;
- Rızayı geri çekme hakkı kullanma prosedürü;
- Veri güveniyle şikâyetleri yerleştirme süreci;
- Hindistan Veri Koruma Kurulu ile şikayet yapma prosedürü.
Siber güvenlik yönergeleri uyarınca, aksine, bildirim verme zorunluluğu DPDP Yasası uyarınca spesifik değildir. Siber güvenlik yönergeleri, düzenlenmiş kuruluşları kişisel olarak tanımlanabilir bilgileri toplamak için ayarlanmış kategorizasyonu izlemeye zorlar. Rıza para çekme, şikayet kaydetme süreci veya şikayet dosyalanma mekanizmalarının düzenleyici otoritelerle dahil edilmesi gibi yönleri dahil etme yükümlülüğü yoktur.
Onay
DPDP Yasası, rızanın özgür, bilgilendirilmesi ve açık bir şekilde yansıtılması gerektiğini öngörür. Aynı rıza Veri Müdürü ve Veri Kıymeti arasında.
Siber güvenlik yönergeleri, aksine, amaca özgü ve bilgilendirilmiş bir onay elde etmek için sigorta şirketleri ve brokerler gibi düzenlenmiş kuruluşların gerekmez. Bu kuruluşlar, poliçe sahiplerinin ve beklentilerinin kişisel verilerini işlemek için bir kerelik battaniye onayı alırlar.
Diğer IRDAI düzenlemeleri de dahil olmak üzere siber güvenlik yönergeleri uyarınca rıza şartlarındaki varyans, DPDP Yasası ile uyumlu uyum uygulamalarının yeniden değerlendirilmesini gerektirir.
Bir veri müdürünün hakları
DPDP Yasası, kuruluşları veri müdürünün rızayı geri çekme hakkına sahip olmasını sağlamaya zorlar; İşleme için paylaşılan doğru kişisel veriler; Yetkisiz işleme ile ilgili şikayeti kaydedin; ve Veri Koruma Kuruluna şikayette bulunmak. Ancak bu verilere özgü haklar, poliçe sahiplerinin ve potansiyel müşterilerin kişisel veri işlenmesini yöneten siber güvenlik yönergeleri ve diğer IRDAi düzenlemeleri kapsamında mevcut değildir.
Kişisel verilerin işlenmesi
DPDP Yasası kapsamında kişisel verilerin yasal olarak işlenmesine, amaç belirtilerek veri müdürlerinden onay alan veri güvenlerine tabidir.
IRDAI ile ilgili siber güvenlik yönergeleri ve diğer ilgili düzenlemeler, kişisel verilerin bilgiye dayalı ve amaca özgü işlenmesini vurgulamaz. Sigorta değer zinciri, politika satın alma kanalları içindeki kişisel verileri işleyen sigorta acenteleri, brokerler, üçüncü taraf yöneticileri, telemarketers ve web toplayıcıları gibi birden fazla veri mütevelli ve işlemci içerir. Genellikle tek seferlik bir battaniye onay modeli içerir.
Değer zincirinde paylaşılan önemli miktarda veri, bireyin poliçe sahibi veya sadece bir olasılık olup olmadığına bakılmaksızın, ilgili bireyin açık bir bilgisi veya onayı olmadandır.
Kişisel verilerin sınırsız işlenmesi göz önüne alındığında, düzenlenmiş kuruluşlar DPDP Yasası’ndaki boşlukları değerlendirmeli ve kişisel verilerin tüm amaçlar için işlenmesine uygunluk sağlamalıdır.
Sınır ötesi veri aktarımı
DPDP Yasası, devlet onaylı çerçevelere tabi olarak, Hindistan dışındaki kişisel verilerin aktarılmasını kısıtlayan hükümler içermektedir. Sigorta sektöründe, siber güvenlik yönergeleri, diğer IRDAI düzenlemeleri ile birlikte, düzenlenmiş kuruluşları Hindistan dışındaki verileri aktarmak ve yerel veri depolama ve koruma normlarına uymak için kısıtlamaktadır.
Çözüm
DPDP Yasası, sigorta sektörü de dahil olmak üzere çeşitli sektörler için geniş kapsamlı sonuçlarla Hindistan’ın veri koruma ve gizlilik manzarasında önemli bir değişime işaret ediyor. DPDP Yasası ile mevcut IRDAI düzenlemeleri arasındaki etkileşim, özellikle bildirim gereklilikleri ile ilgili karmaşıklık katmaktadır; onay; Veri Ana Hakları; verilerin toplanması ve işlenmesi ile ilgili yükümlülükler; ve DPDP Yasası ve Siber Güvenlik Yönergeleri kapsamındaki diğer faktörler.
Düzenlenmiş kuruluşlar, DPDP Yasası’na tam uyumdan kaçınmak için sektöre özgü düzenlemelere güvenmeye çalışabilir. Bu zorlukları tanıyan Irdai, 5 Şubat 2025 tarihli bir ofis emri aracılığıyla, DPDP Yasası’nın Hindistan sigorta sektörü üzerindeki etkisini değerlendirmek için disiplinler arası Siber Güvenlik Komitesi’ni yeniden oluşturdu.
Sigorta sektöründeki paydaşlar şu anda düzenleyici manzarada etkili bir şekilde gezinmek için kişisel verilerin ele alınması için düzenlemeler konusunda aerodinamik bir çerçeve bekliyorlar.