Η Reserve Bank of India εισήγαγε ένα ολοκληρωμένο σχέδιο κανόνων συστήματος διαχείρισης δεδομένων που απαιτεί από τις εμπορικές τράπεζες και τις μη τραπεζικές χρηματοπιστωτικές εταιρείες να βελτιώσουν την ακρίβεια, την ασφάλεια και την ιχνηλασιμότητα των δεδομένων πριν από το πλαίσιο αναμενόμενων πιστωτικών ζημιών το 2027.
Φωτογραφία: Francis Mascarenhas/Reuters
Βασικά Σημεία
- Η RBI έχει εκδώσει σχέδια προτύπων για το Πλαίσιο Διακυβέρνησης Δεδομένων (DGF) για ρυθμιζόμενες οντότητες, συμπεριλαμβανομένων των εμπορικών τραπεζών και των NBFC, για να διασφαλίσει την ακρίβεια, τη συνέπεια, την εμπιστευτικότητα, την ακεραιότητα και την ιχνηλασιμότητα των δεδομένων.
- Το DGF είναι κρίσιμο για την επικείμενη εφαρμογή του συστήματος αναμενόμενων πιστωτικών ζημιών (ECL) για προβλέψεις για ζημίες δανείων, που έχει προγραμματιστεί για την 1η Απριλίου 2027.
- Οι ρυθμιζόμενες οντότητες θα πρέπει να δημιουργήσουν ένα ολοκληρωμένο DGF ανάλογο με το μέγεθος και την πολυπλοκότητά τους, το οποίο θα καλύπτει την οργανωτική δομή, τις πολιτικές, τη διαχείριση κινδύνου (συμπεριλαμβανομένης της προστασίας της ιδιωτικής ζωής και των δεδομένων), την τεχνολογία και τους μηχανισμούς ελέγχου.
- Αυτό το σύστημα απαιτεί συμμόρφωση με τον Νόμο 2023 για την Προστασία των Ψηφιακών Προσωπικών Δεδομένων (DPDP) και άλλους ισχύοντες νόμους που απαιτούν ετήσιους ελέγχους.
- Μια επιτροπή διακυβέρνησης δεδομένων σε επίπεδο συμβουλίου ή μια υπάρχουσα επιτροπή θα επιβλέπει το έργο του DGF, με μια ειδική λειτουργία δεδομένων υπό την ηγεσία ενός ανώτερου στελέχους για να διασφαλιστεί η συνεπής εφαρμογή και παρακολούθηση της απόδοσης.
Η Reserve Bank of India (RBI) δημοσίευσε την Τετάρτη προσχέδια κανόνων για το σύστημα διαχείρισης δεδομένων για ρυθμιζόμενες οντότητες, όπως εμπορικές τράπεζες και μη τραπεζικές χρηματοοικονομικές εταιρείες (NBFCs), τονίζοντας την ανάγκη διασφάλισης ακρίβειας, συνέπειας, εμπιστευτικότητας, ακεραιότητας και ιχνηλασιμότητας των δεδομένων σε συστήματα και επιχειρηματικές λειτουργίες.
Το σχέδιο κανονισμών διαχείρισης δεδομένων προηγείται της εφαρμογής του συστήματος αναμενόμενων πιστωτικών ζημιών (ECL) για προβλέψεις για ζημίες δανείων, που έχει προγραμματιστεί από την 1η Απριλίου 2027.
Οι τράπεζες αναμένεται να δώσουν προτεραιότητα στην ενίσχυση της υποδομής δεδομένων τους για την επιτυχή εφαρμογή του συστήματος ECL.
Αντιμετώπιση της ανάπτυξης των ψηφιακών χρηματοοικονομικών υπηρεσιών
«Η ταχεία ανάπτυξη των ψηφιακών χρηματοοικονομικών υπηρεσιών, των διασυνδεδεμένων οικοσυστημάτων τεχνολογίας, των συμφωνιών τρίτων, των προηγμένων αναλυτικών στοιχείων και των αυτοματοποιημένων διαδικασιών λήψης αποφάσεων έχει αυξήσει σημαντικά τον όγκο, την ταχύτητα και την πολυπλοκότητα των δεδομένων που παράγονται, επεξεργάζονται, διαδίδονται και αποθηκεύονται από ρυθμιζόμενες οντότητες», αναφέρει το σχέδιο κανονισμών.
Οι κανονισμοί προτείνουν οι ρυθμιζόμενες οντότητες να εφαρμόσουν ένα πλαίσιο διακυβέρνησης δεδομένων (DGF) που να ισχύει για όλα τα δεδομένα και να το ευθυγραμμίσουν με το πλαίσιο διαχείρισης κινδύνου τους, διασφαλίζοντας παράλληλα ότι είναι ανάλογο με το μέγεθος, την πολυπλοκότητα, το επιχειρηματικό μοντέλο και τις ρυθμίσεις τεχνολογίας και ασφάλειας πληροφοριών.
Επιπλέον, το πλαίσιο πρέπει να είναι ολοκληρωμένο και να καλύπτει όλες τις πτυχές της διακυβέρνησης δεδομένων, συμπεριλαμβανομένης της οργανωτικής δομής, των πολιτικών και των διαδικασιών, της διαχείρισης κινδύνου συμπεριλαμβανομένου του απορρήτου και της ασφάλειας δεδομένων, της τεχνολογικής υποδομής και των μηχανισμών ελέγχου καθ’ όλη τη διάρκεια του κύκλου ζωής των δεδομένων.
Συμμόρφωση και συμφωνίες τρίτων
Αυτό το πλαίσιο πρέπει να συμμορφώνεται με τον Νόμο του 2023 για την Προστασία των Ψηφιακών Προσωπικών Δεδομένων (DPDP), τους Κανόνες DPDP του 2025 και όλους τους άλλους ισχύοντες νόμους και κανονισμούς.
«Το δημοσιονομικό πλαίσιο για την ανάπτυξη θα πρέπει να αναθεωρείται ετησίως ή πιο συχνά εάν είναι απαραίτητο», ανέφερε.
Όσον αφορά τις συμφωνίες με τρίτα μέρη, η RBI είπε ότι η ρυθμιζόμενη οντότητα θα πρέπει να είναι υπεύθυνη για τη διαχείριση των δεδομένων που μοιράζονται με τρίτα μέρη, συμπεριλαμβανομένων των οντοτήτων του ομίλου, διασφαλίζοντας παράλληλα ότι τα δεδομένα κοινοποιούνται μόνο για καθορισμένους και εγκεκριμένους σκοπούς και σε καθορισμένο προσωπικό.
Ζητήθηκε από τις ρυθμιζόμενες οντότητες να εφαρμόσουν συστήματα και ελέγχους που διέπουν την πρόσβαση, τη χρήση και τη διάθεση δεδομένων που κοινοποιούνται σε τρίτους, λαμβάνοντας υπόψη την ταξινόμηση των δεδομένων, την εμπιστευτικότητα και, κυρίως, τη συναίνεση των πελατών στην περίπτωση δεδομένων πελατών.
«Οι ελεγχόμενες οντότητες πρέπει να διασφαλίσουν ότι τα δεδομένα που μοιράζονται με τρίτα μέρη παραμένουν ανιχνεύσιμα σε μια καθορισμένη ενιαία πηγή αλήθειας και ότι τα μεταδεδομένα και η προέλευση αντικατοπτρίζουν την έκταση αυτής της κοινής χρήσης», αναφέρουν τα προσχέδια κανονισμών.
Οι κανονισμοί ορίζουν ότι η κοινή χρήση δεδομένων δεν πρέπει να οδηγεί σε μη εξουσιοδοτημένη επαναχρησιμοποίηση, κοινή χρήση ή αντιγραφή.
Λειτουργία εποπτείας και επεξεργασίας δεδομένων από το Διοικητικό Συμβούλιο
Οι κανόνες ορίζουν ότι το διοικητικό συμβούλιο της τράπεζας ή της NBFC πρέπει να παρακολουθεί τη δομή και να εξετάζει τις εκθέσεις και τα στοιχεία που υποβάλλονται σε αυτήν.
Οι ρυθμιζόμενες οντότητες θα πρέπει να δημιουργήσουν μια επιτροπή διαχείρισης δεδομένων σε επίπεδο συμβουλίου ή να αναθέσουν την ευθύνη σε μια υπάρχουσα επιτροπή συμβουλίου.
Η επιτροπή θα επιβλέπει την εφαρμογή του DGF.
Η επιτροπή του διοικητικού συμβουλίου θα πρέπει να διαμορφώσει μια πολιτική διακυβέρνησης δεδομένων που θα καλύπτει το εύρος της διακυβέρνησης δεδομένων, την αρχιτεκτονική δεδομένων, τη διαχείριση κινδύνου δεδομένων, την ιδιοκτησία, τη λογοδοσία και την ευθύνη για τα δεδομένα καθ’ όλη τη διάρκεια του κύκλου ζωής των δεδομένων, τη διαχείριση ποιότητας δεδομένων, τη δομή ταξινόμησης δεδομένων και τις ρυθμίσεις με τρίτα μέρη.
Επιπλέον, η ρυθμιζόμενη οντότητα πρέπει να καθιερώσει διαδικασίες διαχείρισης κινδύνου δεδομένων ως μέρος του συνολικού πλαισίου διαχείρισης κινδύνου, ανέφερε το σχέδιο κανονισμού.
Κατά τον καθορισμό των ρόλων και των ευθυνών σε έναν οργανισμό, τα σχέδια κανονισμών ορίζουν ότι οι ρυθμιζόμενες οντότητες πρέπει να δημιουργήσουν μια λειτουργία επεξεργασίας δεδομένων με επικεφαλής στέλεχος τουλάχιστον του βαθμού γενικού διευθυντή ή ισοδύναμου, με την κατάλληλη εξουσία και τις απαραίτητες ικανότητες και δεξιότητες για την εφαρμογή του DGF.
Η συνάρτηση δεδομένων θα πρέπει να αναπτύσσει μετρήσεις για την παρακολούθηση της αποτελεσματικότητας του DGF.
«Η λειτουργία δεδομένων θα πρέπει να λειτουργεί ως κεντρικό σημείο συντονισμού για τη διασφάλιση της συνεπούς ερμηνείας και εφαρμογής του DGF και των σχετικών πολιτικών για τις επιχειρήσεις, τους κινδύνους, την τεχνολογία και άλλες σχετικές λειτουργίες», ανέφερε.
Επιπλέον, κάθε τομέας δεδομένων πρέπει να έχει καθορισμένο κάτοχο δεδομένων ο οποίος θα είναι υπεύθυνος και υπεύθυνος για τη διασφάλιση ότι τα δεδομένα στον τομέα ορίζονται, ταξινομούνται και χρησιμοποιούνται σύμφωνα με το DGF.
Πρέπει επίσης να διοριστεί ένα άτομο για να διασφαλίσει ότι η πρόσβαση και τα δικαιώματα χρήστη ελέγχονται σύμφωνα με την ταξινόμηση δεδομένων και την εγκεκριμένη χρήση.
Οι κανονισμοί πρότειναν επίσης οι ρυθμιζόμενες οντότητες να θεσπίζουν διαδικασίες διαχείρισης ποιότητας δεδομένων ανάλογες με την κρισιμότητα, την ευαισθησία και την ταξινόμηση των δεδομένων και να διασφαλίζουν ότι τα δεδομένα είναι κατάλληλα για τη χρήση για την οποία προορίζονται και ότι τα σημαντικά προβλήματα εντοπίζονται και διορθώνονται έγκαιρα.










