随着政府表示正在研究是否可以缩短《数字个人数据保护法》(DPDP) 下 18 个月的合规期限,行业利益相关者表示他们已经做好了准备。联邦信息技术和电子部长 Ashwini Vaishnaw 周一表示,他正在与公司,特别是已经遵守其他国家数据保护规则的大型全球科技公司进行讨论,看看实施时间可以压缩多少。多家公司表示,他们已做好准备,能够满足稍微紧张的时间表。
目前的 18 个月窗口最初被视为给公司足够的时间来重建系统、加强同意框架和实现内部流程现代化。然而,现在许多参与者将较短的过渡期视为加快执行速度的机会,而不是将合规工作拖到最后一刻。公司已开始计划对数据治理和隐私运营进行投资,以便在执法开始后他们不会落后。
缩短最后期限的影响不会均匀地体现在各个方面。银行和金融公司等大型机构运营着复杂的遗留系统,需要时间彻底检修其基础设施。 Decimal Point Analytics IT 基础设施支持高级副总裁 Sameer Kulkarni 表示:“对于老牌企业和拥有遗留系统的企业来说,需要时间来适应,因为银行、金融机构等运营商都有全面的系统需要改造。” “但对于初创企业来说,考虑到规模和员工数量,这个过程可能会稍微顺利一些,”他补充道。
然而,并非所有公司都是从头开始。 BFSI、电信、云服务、电子商务、健康科技和社交媒体等领域的许多跨国公司已经在欧洲完全符合 GDPR 级别的合规性。这些公司已经拥有同意管理结构、数据最小化控制、违规响应实践和审计就绪文档。对于他们来说,DPDP 合规性现在需要调整,而不是完全重建。
行业顾问表示,公司不应等到每项规则和规范都得到正式通知后才开始内部工作。尽管只有在印度数据保护委员会开始运作后才会开始全面执法,但各组织已经在准备改变个人数据的收集和使用方式。 Aquilaw 税务执行董事 Rajarshi Dasgupta 表示:“第一阶段企业将重点关注评估和治理,这将是立即采取行动的领域,第二阶段企业应重新设计系统并实施流程。”
DPDP 制度下的一个重大转变将是引入独立的同意管理者,预计这将塑造一个新的合规技术生态系统。 Sprinto 联合创始人兼首席运营官 Raghuveer Kancherla 表示:“这将就像一个独立的第三方,我们预计在 GDPR 采用期间,隐私工具将会激增。”
顾问指出,公司的首要任务是了解他们收集哪些数据、数据存放在哪里、数据如何跨系统移动以及谁可以访问这些数据。 IDfy 高级产品经理 Nikhil Jhanji 表示:“从今天开始,每个聪明公司的运作方式不是制定政策,而是数据发现。”
由于时间可能被压缩,隐私专家预计未来几个月法律、技术、网络安全和业务团队之间将进行更密切的协调。德勤印度合伙人 Mayuran Palanisamy 表示:“当务之急是采用基于风险的方法,并分阶段规划关键活动。”
