VFS Global是一家技术服务公司,为全球超过1.75亿人提供签证处理和护照签发相关服务,包括生物识别数据,并且与全球60多个政府签订了合同。VFS Global的组数据保护官Barry Cook在Moneycontrol.com上进行了演讲,谈到了符合GDPR的含义,印度的数据保护法案草案对VFS意味着什么以及它们如何管理数百万人的敏感个人数据。
编辑摘录:
问:您担任数据保护官的职责是什么?
关A:数据保护官具有独立的治理角色,可管理公司对公司运营地现有数据保护法律的遵守情况。它不是运营团队的一部分,并且具有直接联系最高管理层的报告渠道。
相关新闻Ather 450X以99,000卢比的起价推出OnePlus,将在印度开设100家体验店数据隐私日/了解在线保护个人信息的必要性就我而言,这意味着我有责任确保VFS Global以符合法律和我们内部数据保护政策的方式处理签证申请人和VFS Global员工的个人数据。
问:从个人数据角度来看,符合GDPR意味着什么?
A:根据凯捷(Capgemini)的独立报告,作为处理大量申请人信息(签证和公民服务)的公司,VFS Global仅是GDPR兼容的全球公司的15%之一。
从公民的角度来看,消费者现在拥有有关个人数据的增强权利,即,在组织如何处理数据方面,存在更多的保护措施和更高的透明度,并且这些公司在处理数据方面承担了更多的义务。这个数据。
问:滥用未正确存储的个人数据(尤其是可能在签证处理过程中收集的生物识别数据)的潜在可能性是什么?
A:一般来说,滥用个人数据的范围很广,从身份盗用到可能的财务欺诈。例如,以别人的名义申请信用卡并使用该卡进行购买。使用信息的人将获得信用卡账单。
因此,保护个人信息是我们业务的核心。我们非常了解滥用个人数据可能对个人造成的影响。
在VFS Global,我们通过不保留所需数据的时间不超过必要的时间(通常不超过24小时),或按照与我们合作的政府指定的持续时间,来减轻身份盗用的风险。
关于指纹作为生物特征数据的收集,此信息在收集时已加密,因此很难滥用,因为使用此信息需要一定程度的技术,而并非一应俱全。
问:在印度最近发布的《数据保护法案》草案中,对同意和数据本地化的压力很大。如果这些规定要通过成为法律,VFS Global将如何确保在处理个人数据的不同阶段达成一致?
A:在印度采用新法律意味着即使是符合GDPR要求的公司,也必须根据最新要求修改标准操作程序,以便客户知道在何处处理其数据。
VFS Global已使用不同的方法来向申请人明确我们所接受的同意与特定个人数据的收集有关。
根据法律最终规定的条件,我们将使用某种技术进一步发展,以使用诸如“即时”同意之类的技术,这使我们的签证申请人客户能够完全了解他们所同意的范围。 。
问:您如何看待数据本地化问题?您是否认为这样对小型企业有害,并增加了小型企业和最终用户的成本?
A:我相当有信心,通过制定并成功实施一项数据保护法,印度政府将为外包和数据驱动型部门提供跳板,因为这使所有具有类似法律的国家更容易在每个国家之间出于商业目的传输数据其他。
关于数据本地化,我们应该问的关键问题是:要本地化的数据范围是什么?这仍然是一个有争议的问题,法案草案对此还有待进一步讨论。通常,现实情况是,全世界的数据保护法律并没有要求对所有数据进行全面本地化,而只要求对某些数据进行本地化。
为了满足此要求,一些公司在世界其他地区通常要做的事情是在运营国家/地区内建立小型数据中心,以将数据保存在本地,然后将其复制到国家/地区之外的主要数据库中,在某些情况下,方式否定了数据本地化的概念,但仍然符合法律要求。
对于在有数据本地化要求的国家/地区开展业务的跨国公司,毫无疑问,在决定对该国的业务进行投资时,将考虑增加的运营成本。
问:从数据保护的角度来看,可以采用哪种最佳方案来确保轻松的跨边界数据流和个人数据的安全性?
A:我认为,跨境数据流的最佳方案是在确保“个人数据安全性”的同时,还基于“转移充分性”标准。这意味着一个国家或司法管辖区必须确定另一国家具有足够的数据保护保障措施,以确保个人的权利和自由随数据一起旅行。
要转移到没有强有力的数据保护法规的国家,最好是基于知情同意的模式,在这种模式下,个人应充分了解要共享的数据以及同意的范围。
问:您如何看待数据处理和安全对话的未来?
A:在过去的几年中,围绕数据保护和数据隐私的讨论迅速发展,这是因为人们越来越认识到个人数据实际上属于有关个人。重要的是要记住,组织只是“借钱”。个人为了执行任务的个人数据。
组织不能随意处理个人数据。数据保护法规将对个人数据使用的控制牢牢地掌握在个人手中。现代数据保护法力求在个人权利与处理该数据的组织的利益之间找到良好的平衡。
也就是说,毫无疑问,此举将极大地促进印度数据处理行业的发展,因为在国际上,许多国家/地区都在其数据保护法中写明了一些条款,这些条款难以转让。向没有健全的数据保护法律的国家/地区提供数据,我认为是正确的。