गोपनीयता नीति

उद्देश्य

इस नीति का उद्देश्य बैंक द्वारा अपने ग्राहकों और गैर-ग्राहकों के बारे में किसी भी रूप में इलेक्ट्रॉनिक और/या अन्यथा प्राप्त की गई जानकारी की गोपनीयता सुनिश्चित करना है।

व्याप्ति

पॉलिसी बैंक द्वारा ग्राहकों और गैर-ग्राहकों के बारे में इलेक्ट्रॉनिक के साथ-साथ कागज इत्यादि जैसे किसी भी अन्य रूप में प्राप्त/ स्वीकार की गई जानकारी को कवर करती है। पॉलिसी बैंक द्वारा अन्य स्रोतों के माध्यम से प्राप्त/ स्वीकार की गई जानकारी को भी कवर करती है जैसे कि सामान्य व्यवसाय अवधि के दौरान अन्य बैंकों से प्राप्त की गई गोपनीय रिपोर्टें/खाते का विवरण इत्यादि।

यह नीति हार्डवेयर, एप्लिकेशन, डेटाबेस, ऑपरेटिंग सिस्टम, नेटवर्क संपत्ति, किसी भी इलेक्ट्रॉनिक/गैर इलेक्ट्रॉनिक उपकरण और मौखिक सूचना साझाकरण जैसी सूचना प्रबंधन बुनियादी ढांचे को कवर करती है।

यह नीति वह बुनियाद निर्धारित करती है जिसके आधार पर बैंक द्वारा प्राप्त/ स्वीकार जानकारी बैंक गोपनीयता नीति द्वारा संसाधित की जाती है।

विवरण

ग्राहकों और गैर-ग्राहकों और नियामक आवश्यकताओं के प्रति बैंक की प्रतिबद्धता के एक हिस्से के रूप में, यह सुनिश्चित किया जाएगा कि ग्राहकों के बारे में प्राप्त जानकारी की गोपनीयता बनाए रखी जाए, जिसका अर्थ है कि इसका उचित उपयोग किया जाए और सुरक्षित रूप से रखा जाए।

परिभाषाएं

• ग्राहक - परिभाषा के लिए, कृपया बैंक की केवाईसी नीति देखें।
• गैर-ग्राहक - इन शब्दों की कोई सार्वभौमिक परिभाषा नहीं है, हालांकि यह कहना सुरक्षित है कि "गैर-ग्राहक" वह कोई भी इकाई है जो "ग्राहक" की ऑपरेटिव परिभाषा को पूरा करने में विफल रहती है। गैर-ग्राहक का अर्थ है ऐसे व्यक्ति से जो ग्राहक नहीं हैं और जो गैर-ग्राहक सेवाओं का लाभ उठाने के लिए बैंक से संपर्क करते हैं। अभिव्यक्ति "गैर-ग्राहक" का अर्थ, जैसा कि विषय या संदर्भ अनुमति दे सकता है या आवश्यकता हो सकती है, ऐसे किसी या प्रत्येक गैर-ग्राहक से होगा। गैर-ग्राहक का मतलब एक प्राकृतिक या कानूनी व्यक्ति है जो बैंक के संपर्क में आया, लेकिन बैंक द्वारा किसी उत्पाद या सेवा के प्रावधान पर बैंक के साथ उसका कोई मौजूदा संबंध नहीं है और साथ ही, वह पूर्व ग्राहक नहीं है। (पूर्व ग्राहक उस समय गैर-ग्राहक बन जाता है जब बैंक व्यक्तिगत डेटा सुरक्षा ढांचे के अनुसार उसके डेटा को अपने सिस्टम से हटा देता है या अज्ञात कर देता है)।
• "व्यक्तिगत जानकारी" का अर्थ है कोई भी जानकारी जो बैंक के ग्राहकों और गैर-ग्राहकों से संबंधित है, जो प्रत्यक्ष या अप्रत्यक्ष रूप से, बैंक के पास उपलब्ध है या उपलब्ध होने की संभावना वाली अन्य जानकारी के साथ मिलकर ऐसे ग्राहक और गैर-ग्राहकों की पहचान करने में सक्षम है। ग्राहक की व्यक्तिगत जानकारी में ग्राहक या गैर-ग्राहक का नाम, आयु, लिंग, संपर्क विवरण, ईमेल पता, पासपोर्ट नंबर, आय, पैन, नामांकित व्यक्तियों का विवरण, खाता संख्या, खातों के प्रकार, बैंक के साथ संबंध का प्रकार, क्रेडिट रेटिंग, मुकदमेबाजी शामिल हो सकती है। दावे, वित्तीय जानकारी, शारीरिक और मानसिक स्वास्थ्य स्थिति, मेडिकल रिकॉर्ड और इतिहास, बायोमेट्रिक जानकारी, सेवा प्रदान करने के लिए बैंक को प्रदान की गई उपरोक्त शर्तों से संबंधित कोई भी विवरण, और कोई भी जानकारी प्रासेस के लिए बैंक द्वारा प्राप्त, वैध अनुबंध के अंतर्गत संग्रहीत या संसाधित या अन्य जानकारी जो प्रत्यक्ष या अप्रत्यक्ष रूप से किसी विशेष ग्राहक या गैर-ग्राहक की पहचान कर सकती है।
• कोई भी जानकारी जो सार्वजनिक डोमेन में स्वतंत्र रूप से उपलब्ध है या पहुंच योग्य है या सूचना का अधिकार अधिनियम, 2005 के अंतर्गत या उस समय लागू किसी अन्य कानून के अंतर्गत प्रस्तुत करने की आवश्यकता है, इस नीति के प्रयोजन हेतु व्यक्तिगत जानकारी नहीं मानी जाएगी।
• "प्रोसेसिंग" का अर्थ है कोई भी ऑपरेशन या संचालन का एक सेट, चाहे वह स्वचालित माध्यम से किया गया हो या नहीं, इससे संबंधित है
  • व्यक्तिगत डेटा का संगठन, संकलन, भंडारण, अद्यतनीकरण, संशोधन, परिवर्तन या उपयोग
  • व्यक्तिगत डेटा का विलय, लिंक करना, अवरुद्ध करना, निम्नीकरण करना, मिटाना या नष्ट करना
    
    

व्यक्तिगत जानकारी का संग्रह

• बैंक व्यक्तिगत जानकारी एकत्र करेगा, जैसा कि व्यवसाय के सामान्य निर्वाह में आवश्यक हो सकता है और कानूनों और विनियमों द्वारा अनुमति दी जा सकती है।
• यदि बैंक बेहतर सेवाएं प्रदान करने के लिए अन्य व्यक्तिगत जानकारी एकत्र करता है, तो उसे भी इस नीति में परिभाषित "व्यक्तिगत जानकारी" के रूप में वर्गीकृत किया जाएगा।
• बैंक ऐसी जानकारी एकत्र करने से पहले ग्राहक या गैर-ग्राहक से बैंक द्वारा जानकारी के उपयोग और हस्तांतरण के उद्देश्य के बारे में उसकी जानकारी के संबंध में पत्र या फैक्स या ईमेल के माध्यम से लिखित रूप में सहमति (व्यक्त या निहित) प्राप्त करेगा।
• व्यक्तिगत जानकारी तब तक एकत्र नहीं की जाएगी जब तक कि यह आवश्यक न हो या किसी वैध उद्देश्य के लिए एकत्र न की गई हो या बैंक के किसी कार्य या गतिविधि या व्यवसाय से जुड़ी न हो।
• बैंक इससे संबंधित जानकारी भी एकत्र कर सकता है -
  • बैंक की वेबसाइट पर विज़िट लेकिन ट्रैफ़िक डेटा, स्थान डेटा, वेब लॉग इत्यादि तक सीमित नहीं।
  • नियोक्ताओं, संयुक्त खाताधारकों, क्रेडिट रेटिंग एजेंसियों, धोखाधड़ी रोकथाम एजेंसियों इत्यादि जैसे तीसरे पक्षों से जानकारी।
  • सिस्टम प्रशासन के लिए ग्राहक या गैर-ग्राहक द्वारा उपयोग किया जाने वाला कंप्यूटर, जिसमें आईपी पता, ऑपरेटिंग सिस्टम और ब्राउज़र प्रकार शामिल है और इसे तीसरे पक्ष के साथ साझा करें। यह सांख्यिकीय डेटा है और इससे किसी व्यक्ति की पहचान नहीं हो सकती।
  • "कुकी फ़ाइल" का उपयोग करके ग्राहक या गैर-ग्राहक का सामान्य इंटरनेट उपयोग, जो ग्राहक या गैर-ग्राहक के कंप्यूटर की हार्ड ड्राइव पर संग्रहीत होता है। यह डेटा किसी व्यक्ति की पहचान भी नहीं कर सकता है।
• ग्राहक या गैर-ग्राहक से व्यक्तिगत जानकारी एकत्र करते समय निम्नलिखित सावधानियां बरती जाएंगी ताकि उन्हें जानकारी एकत्र करने का उद्देश्य समझ में आ जाए।
  • व्यक्तिगत जानकारी एकत्र की जा रही है
  • वह उद्देश्य जिसके लिए जानकारी एकत्र की जा रही है।
  • प्रासंगिक विवरण जैसे बैंक की ओर से जानकारी एकत्र करने वाले व्यक्ति का नाम और इस जानकारी को बनाए रखने का तरीका।
  • व्यक्तिगत जानकारी एकत्र करते समय, ग्राहकों या गैर-ग्राहकों को व्यक्तिगत जानकारी प्रदान करने से इनकार करने का विकल्प दिया जाएगा। हालाँकि, ऐसे मामलों में ग्राहकों या गैर-ग्राहकों को स्पष्ट रूप से सूचित किया जाएगा कि वे कुछ सेवाओं या उत्पादों के हकदार नहीं होंगे जिनके लिए ऐसी व्यक्तिगत जानकारी आवश्यक है।
• यदि ग्राहक या गैर-ग्राहक शुरू में व्यक्तिगत जानकारी प्रदान करते हैं और बाद में व्यक्तिगत जानकारी वापस लेने का निर्णय लेते हैं, तो ऐसे ग्राहक या गैर-ग्राहक को स्पष्ट रूप से सूचित किया जाएगा कि हालांकि बैंक व्यक्तिगत जानकारी, वापस कर देगा किन्तु कुछ सेवाओं या उत्पादों को जिनके लिए ऐसी व्यक्तिगत जानकारी की आवश्यकता है, बंद कर दी जाएगी।
• व्यक्तिगत जानकारी उस अवधि के लिए नहीं रखी जाएगी जो उस उद्देश्य के लिए आवश्यक अवधि से अधिक है जिसके लिए इसे एकत्र किया गया था।
  
  

व्यक्तिगत जानकारी का संकलन

• एक बार ग्राहकों या गैर-ग्राहकों से व्यक्तिगत जानकारी एकत्र की जाती है तो इसे सुरक्षित वातावरण में संग्रहीत करना बैंक की जिम्मेदारी है।
• व्यक्तिगत जानकारी सुरक्षित सर्वर पर संग्रहीत की जाती है। जहां ग्राहक या गैर-ग्राहकों को एक उपयोगकर्ता नाम, पासवर्ड/ पिन नंबर दिया जाता है, जो ग्राहक या गैर-ग्राहकों को बैंक की कुछ सेवाओं तक पहुंचने में सक्षम बनाता है, ग्राहक या गैर-ग्राहक इस उपयोगकर्ता नाम, पासवर्ड/ पिन नंबर गोपनीय को रखने के लिए जिम्मेदार होंगे।
• सूचना सुरक्षा के उल्लंघन की स्थिति में, बैंक यह प्रदर्शित करने की स्थिति में होगा कि सूचना सुरक्षा दस्तावेजित सूचना सुरक्षा नीतियों के अनुसार लागू की गई है। इस उद्देश्य को पूरा करने के लिए, सूचना सुरक्षा नियंत्रणों के कार्यान्वयन का उचित रिकॉर्ड इस तरह से बनाए रखा जाना चाहिए कि यह साक्ष्य के रूप में स्वीकार्य हो।
• यदि व्यक्तिगत जानकारी भौतिक दस्तावेज़ के रूप में उपलब्ध है, तो इसे भौतिक सुरक्षा प्रणाली, अलमारी, अग्निरोधक अलमारियों, फ़ाइल भंडारण उपकरण और मशीनों इत्यादि जैसे संरक्षित वातावरण में रखा जाएगा।
• यदि व्यक्तिगत जानकारी इलेक्ट्रॉनिक प्रारूप में उपलब्ध है तो इसे बैंक के वातावरण और सॉफ्टवेयर सिस्टम में संग्रहीत किया जाएगा, जिसे उचित पहुंच नियंत्रण, पासवर्ड, एन्क्रिप्शन और/ या ऐसे अन्य उचित सुरक्षा उपायों की मदद से संरक्षित किया जाएगा। ग्राहकों या गैर-ग्राहकों की व्यक्तिगत जानकारी को बैंक के संचालन/ कानूनी अथवा नियामक आवश्यकता के अलावा किसी अन्य उद्देश्य के लिए कॉपी या डुप्लिकेट नहीं निकाला जाएगा।
  
  

व्यक्तिगत जानकारी में संशोधन

• बैंक ग्राहकों या गैर-ग्राहकों को उनकी व्यक्तिगत जानकारी की समीक्षा करने की सुविधा प्रदान करेगा। यदि पते, संपर्क विवरण इत्यादि में किसी परिवर्तन की आवश्यकता होती है, तो बैंक ग्राहकों को वे परिवर्तन करने की सुविधा प्रदान करेगा, और यह सुनिश्चित करेगा कि बैंक के रिकॉर्ड के लिए ग्राहकों या गैर-ग्राहकों से आवश्यक सहायक दस्तावेज प्राप्त किए जाएं।
• बैंक यह सुनिश्चित करेगा कि ग्राहकों या गैर-ग्राहकों को स्पष्ट रूप से सूचित किया जाए कि बैंक व्यक्तिगत जानकारी या संवेदनशील व्यक्तिगत डेटा या सूचना प्रदाता द्वारा बैंक या उसकी ओर से कार्यरत किसी अन्य व्यक्ति को प्रदान की गई जानकारी की प्रामाणिकता के लिए जिम्मेदार नहीं होगा।
• व्यक्तिगत जानकारी एकत्र करने से पहले, बैंक यह सुनिश्चित करेगा कि ग्राहक या गैर-ग्राहकों को विधिवत सूचित किया जाए कि वर्तमान, सटीक, पूर्ण और वैध व्यक्तिगत जानकारी प्रदान करना पूरी तरह से उनके हित में है।
• ग्राहक या गैर-ग्राहक द्वारा अनुरोध किए जाने पर ग्राहक या गैर-ग्राहक की जानकारी की एक प्रति उपलब्ध कराई जाएगी और ग्राहक या गैर-ग्राहक किसी भी अशुद्धि को ठीक कराने का हकदार है।
  
  

कठिनाईयां / शिकायतें

प्रधान कार्यालय में सार्वजनिक शिकायतों के लिए नोडल अधिकारी डेटा गोपनीयता से संबंधित मुद्दों के लिए शिकायत अधिकारी होंगे, जिनका नाम और संपर्क विवरण बैंक की वेबसाइट पर उपलब्ध कराया जाएगा।

ऐसे शिकायत अधिकारी को की गई शिकायतों का नियामक दिशानिर्देशों के अनुसार शीघ्रता से निवारण किया जाएगा।

व्यक्तिगत जानकारी साझा करना / अंतरित करना

• नीति के अनुसरण में, यह बैंक की जिम्मेदारी होगी कि वह ग्राहकों या गैर-ग्राहकों की व्यक्तिगत जानकारी किसी तीसरे पक्ष को न बताए। हालाँकि, ग्राहकों या गैर-ग्राहकों को सेवा प्रदान करने के लिए बैंक को अपने सेवा प्रदाताओं और अधिकृत विक्रेताओं के साथ व्यक्तिगत जानकारी साझा करने की आवश्यकता हो सकती है। ऐसे मामलों में, ऐसी किसी भी व्यक्तिगत जानकारी को साझा करने से पहले, बैंक यह सुनिश्चित करेगा कि प्राप्तकर्ता सेवा प्रदाताओं और अधिकृत विक्रेताओं द्वारा एक उचित समझौते पर हस्ताक्षर किए गए हैं और वे गोपनीयता शर्तों के पालन हेतु बाध्य हैं।
• बैंक यह सुनिश्चित करेगा कि ऐसी व्यक्तिगत जानकारी भारत या विदेश में किसी अन्य निकाय, कॉर्पोरेट या किसी व्यक्ति को हस्तांतरित/ प्रेषित की जाएगी, जैसा कि व्यवसाय के सामान्य निर्वाह में आवश्यक है, बशर्ते कि  अन्य इकाई समान या उच्च स्तर का डेटा सुरक्षा सुनिश्चित करती है व जिसका पालन बैंक द्वारा किया जाता है।
• ग्राहक या गैर-ग्राहक की व्यक्तिगत जानकारी को अन्य इकाई में अंतरित करने की अनुमति केवल बैंक और ऐसी अन्य इकाई के बीच एक वैध अनुबंध के अनुसार दी जाएगी जो स्पष्ट रूप से अपने ग्राहकों या गैर-ग्राहकों की ऐसी व्यक्तिगत जानकारी को स्थानांतरित करने की आवश्यकता बताती है।
• बैंक क्रेडिट संदर्भ और धोखाधड़ी रोकथाम और कानून प्रवर्तन एजेंसियों और पहचान और पता सत्यापन एजेंसियों को व्यक्तिगत जानकारी का खुलासा कर सकता है जो ग्राहक या गैर-ग्राहक जानकारी को रिकॉर्ड और उपयोग कर सकते हैं और ऋण का पता लगाने, धोखाधड़ी और मनी लॉन्ड्रिंग रोकथाम उद्देश्यों के लिए अन्य संगठनों को इसका खुलासा कर सकते हैं।
  
  

अनुमत प्रकटीकरण

• बैंक ग्राहकों या गैर-ग्राहकों द्वारा प्रदान की गई किसी भी व्यक्तिगत जानकारी का खुलासा करने, प्रकाशित करने से पहले ग्राहकों या गैर-ग्राहकों की पूर्व अनुमति लेगा, जब तक कि बैंक को कानूनी दायित्वों के अनुपालन के अंतर्गत ऐसे प्रकटीकरण करने की आवश्यकता न हो।
• बैंक, ग्राहक या गैर-ग्राहक की पूर्व सहमति प्राप्त किए बिना व्यक्तिगत जानकारी को इस प्रयोजन के लिए ऐसी जानकारी प्राप्त करने के लिए कानून के अंतर्गत अनिवार्य सरकारी एजेंसियों को साझा करेगा:
  • पहचान का सत्यापन या
  • अपराधों की रोकथाम, पता लगाना, जांच करना या
  • अपराधों का अभियोजन और सजा या
  • राष्ट्रहित में
• बैंक सरकारी एजेंसियों से आवश्यकता के उचित सत्यापन के बाद ग्राहकों या गैर-ग्राहकों की व्यक्तिगत जानकारी का खुलासा करेगा, जिसमें ऐसी व्यक्तिगत जानकारी मांगने का उद्देश्य बताया जाएगा और यह बताया जाएगा कि ऐसी जानकारी किसी कानूनी उद्देश्य के लिए आवश्यक है। इसके अलावा, बैंक यह प्रतिबद्धता भी प्राप्त करेगा कि इस प्रकार साझा की गई व्यक्तिगत जानकारी का उपयोग उसी उद्देश्य के लिए किया जाएगा जिसके लिए इसे प्राप्त किया गया है और इसे प्रकाशित या किसी अन्य व्यक्ति के साथ साझा नहीं किया जाएगा।
• व्यक्तिगत जानकारी केवल प्रचलित कानून के अंतर्गत बैंक द्वारा प्राप्त आदेश के अनुसार किसी तीसरे पक्ष के साथ साझा की जाएगी। व्यक्तिगत जानकारी का ऐसा खुलासा बैंक द्वारा तीसरे पक्ष से यह प्रतिबद्धता प्राप्त करने के बाद ही किया जाएगा कि वह आगे कोई खुलासा नहीं करेगा।
• प्रत्यक्ष विपणन के उद्देश्य से व्यक्तिगत जानकारी तीसरे पक्ष के साथ साझा नहीं की जाएगी जब तक कि इसके लिए ग्राहक या गैर-ग्राहक से स्पष्ट सहमति प्राप्त न की जाए।
  
  

व्यक्तिगत जानकारी की पुनर्प्राप्ति

• बैंक यह सुनिश्चित करेगा कि भौतिक या इलेक्ट्रॉनिक प्रारूप में प्राप्त व्यक्तिगत जानकारी, आवश्यक उपयोग के बाद सुरक्षित वातावरण में वापस कर दी जाए या सुरक्षित रूप से नष्ट कर दी जाए।
• यदि बैंक के संचालन के उद्देश्य से व्यक्तिगत जानकारी की किसी प्रति को बनाने की आवश्यकता होती है, तो यह बैंक की जिम्मेदारी होगी कि वह प्रतियों को एक सुरक्षित वातावरण में संग्रहीत करे और ऐसी प्रतियों को भी सुरक्षित वातावरण में पुनर्स्थापित करे या सुरक्षित रूप से नष्ट कर दे।
  
  

व्यक्तिगत जानकारी तक पहुंच

केवल बैंक कर्मचारी, और व्यवसाय संवाददाताओं, एजेंटों, सेवा प्रदाताओं के कर्मचारी जो बैंक द्वारा अधिकृत हैं, उन्हें व्यक्तिगत जानकारी तक पहुंचने की अनुमति दी जाएगी; बशर्ते एक वैध अनुबंध किया गया हो और उनका परिचालन कर्तव्य जानने की आवश्यकता के आधार पर ऐसी व्यक्तिगत जानकारी तक पहुंच की मांग करता हो।

अनधिकृत प्रकटीकरण की रोकथाम

जानकारी के अनधिकृत प्रकटीकरण को रोकने के लिए बैंक निम्नलिखित नीतियों और प्रक्रियाओं को बनाए रखेगा

1. डेटा, सूचना की गोपनीयता सुरक्षित करने की नीति और प्रक्रिया
2. यह सुनिश्चित करने के लिए नीति और प्रक्रिया कि डेटा, सूचना तक पहुंच की अनुमति केवल उनके ऐसे प्रबंधकों या कर्मचारियों या नामित अधिकारियों को है, जो जानने की आवश्यकता के आधार पर इस उद्देश्य के लिए विधिवत अधिकृत हैं;
3. बायोमेट्रिक एक्सेस नियंत्रण और पासवर्ड के माध्यम से तार्किक बाधाओं सहित भौतिक बाधाओं के माध्यम से डेटा, जानकारी तक पहुंच सुनिश्चित करने और नियंत्रित करने की नीति और प्रक्रिया;
4. यह सुनिश्चित करने के लिए नीति और प्रक्रिया कि इस संबंध में उपयोग किए गए पासवर्ड अधिकृत व्यक्ति के अलावा किसी अन्य द्वारा साझा नहीं किए जाते हैं और पासवर्ड अक्सर, लेकिन अनियमित अंतराल पर बदले जाते हैं;
5. यह सुनिश्चित करने के लिए नीति और प्रक्रिया कि डेटा को हटाने और निपटान के संबंध में सर्वोत्तम प्रथाओं का पालन किया जाता है, विशेष रूप से जहां रिकॉर्ड या डिस्क का निपटान ऑफ-साइट या बाहरी ठेकेदारों द्वारा किया जाना है;
6. यह सुनिश्चित करने के लिए नीति और प्रक्रिया कि इस उद्देश्य के लिए अपनाई गई प्रणाली डेटा, सूचना के अनधिकृत संशोधन या विलोपन के खिलाफ सुरक्षा प्रदान करेगी
7. डेटा तक सभी पहुंच के लॉग का रखरखाव सुनिश्चित करने के लिए नीति और प्रक्रिया, जिसमें निम्नलिखित शामिल हैं: -
   1. डेटा तक पहुंच चाहने वाले व्यक्ति की पहचान
   2. ऐसी पहुंच की तारीख और समय;
   3. उस ग्राहक या गैर-ग्राहक की पहचान जिसका डेटा इस प्रकार एक्सेस किया गया था; और
   4. ऐसे लॉग से संबंधित रिकॉर्ड और प्रविष्टियाँ बैकअप नीति/इलेक्ट्रॉनिक रिकॉर्ड प्रबंधन नीति/दिशानिर्देशों के अनुसार न्यूनतम अवधि के लिए संरक्षित की जाती हैं और यह लेखा परीक्षकों/या रिज़र्व बैंक द्वारा जांच के लिए उपलब्ध हो सकती है, जैसा भी मामला हो;
   5. यह सुनिश्चित करने के लिए नीति और प्रक्रिया कि डेटा तक पहुंचने के सभी असफल प्रयासों के लॉग के रखरखाव से संबंधित रिकॉर्ड और प्रविष्टियां, उनके संबंध में सुरक्षा के सिद्ध या संदिग्ध उल्लंघन से जुड़ी सभी घटनाएं समाप्त हो जाएं;
   6. अपेक्षित विवरण में प्रभावित रिकॉर्ड, यदि कोई हो, और ऐसी पहुंच के संबंध में की गई कार्रवाई का विवरण दिया गया है;
   7. सुरक्षा घटना की रिपोर्टिंग और प्रतिक्रिया के लिए प्रक्रिया
   8. ऑडिट ट्रेल्स के निर्माण और उसके सत्यापन सहित डेटा के उपयोग या पहुंच के किसी भी असामान्य या अनियमित पैटर्न का पता लगाने और जांच करने के लिए नियमित और लगातार आधार पर रिकॉर्ड और लॉग की प्रविष्टियों का रखरखाव और समीक्षा;
      
      

आकस्मिक / अनधिकृत प्रकटीकरण

• यदि कोई बैंक कर्मचारी या सेवा प्रदाता या अधिकृत एजेंट पहचानता है कि किसी ग्राहक या गैर-ग्राहक की व्यक्तिगत जानकारी इस नीति के उल्लंघन में गलती से प्रकट की गई है, तो इकाई तुरंत रिपोर्टिंग चैनल के माध्यम से शिकायत अधिकारी को ऐसी घटना की सूचना देगी।
• जानकारी की गंभीरता और उसके प्रभाव के आधार पर, बैंक ऐसे मामलों में उचित कार्रवाई करेगा।
  
  

व्हिसिल ब्लोअर नीति के अंतर्गत संरक्षण

यदि बैंक का कोई कर्मचारी, एजेंट, सेवा प्रदाता, अधिकृत एजेंट इत्यादि देखता है कि इस नीति के उल्लंघन में किसी ग्राहक या गैर-ग्राहक की व्यक्तिगत जानकारी का खुलासा किया जा रहा है, तो ऐसे व्यक्ति/इकाई को ऐसी घटना के अनुसार सूचित करने के लिए प्रोत्साहित किया जाएगा। बैंक की व्हिसल ब्लोअर नीति के लिए।

व्यक्तिगत जानकारी का निपटान

बैंक अपने पास मौजूद व्यक्तिगत जानकारी को नष्ट कर देगा, जब यह निष्कर्ष निकाला जाएगा कि ऐसी जानकारी की अब आवश्यकता नहीं है और बैंक अब जानकारी को बनाए रखने के लिए कानूनी दायित्व के अंतर्गत नहीं है। ऐसी जानकारी को नष्ट करने से पहले उचित सावधानी बरती जाएगी।

प्रवर्तन

आरबीआई के दिशानिर्देशों के अनुसार बैंक में एक "मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ)" होगा, जो जीएम/डीजीएम/एजीएम रैंक का वरिष्ठ स्तर का अधिकारी होगा।

सीआईएसओ इस गोपनीयता नीति को स्पष्ट करने और लागू करने, बैंक की जानकारी की सुरक्षा करने और बैंक के साथ-साथ प्रासंगिक बाहरी एजेंसियों के भीतर व्यक्तिगत सूचना सुरक्षा संबंधी मुद्दों/कार्यान्वयन के समन्वय के लिए जिम्मेदार होगा।

संदर्भ

• अपने ग्राहक को जानें (केवाईसी) मानदंड / धन शोधन रोधी (एएमएल) मानक / आतंकवाद के वित्तपोषण का मुकाबला (सीएफटी) / धन शोधन निवारण अधिनियम, 2002 के अंतर्गत बैंकों के दायित्व पर मास्टर परिपत्र, दिनांक 01 जुलाई, 2011
• अपने ग्राहक को जानें (केवाईसी) मानदंड / धन शोधन रोधी (एएमएल) मानक / आतंकवाद के वित्तपोषण का मुकाबला (सीएफटी) / धन शोधन निवारण अधिनियम, 2002 के अंतर्गत बैंकों के दायित्व पर मास्टर परिपत्र, दिनांक 1 जुलाई 2010/ 2 जुलाई , 2012.
• सूचना प्रौद्योगिकी (उचित सुरक्षा प्रथाएं और प्रक्रियाएं और संवेदनशील व्यक्तिगत डेटा या जानकारी) नियम, 2011।
• ग्राहक पहचान प्रक्रिया सत्यापित की जाने वाली विशेषताएं और ग्राहकों से प्राप्त किए जा सकने वाले दस्तावेज़ [ए.पी. (डीआईआर श्रृंखला) परिपत्र संख्या दिनांक नवंबर, 2012 का अनुबंध] आरबीआई/2012-13/45 डीबीओडी। एएमएल. ईसा पूर्व. क्रमांक 11/14.01.001/2012-13 2 जुलाई 2012
• बैंक की सूचना सुरक्षा नीति
• क्रेडिट सूचना कंपनी (विनियमन) अधिनियम, 2005
• राष्ट्रीय साइबर सुरक्षा नीति - अधिसूचना दिनांक 2 जुलाई 2013
• ड्राफ्ट बिल - निजता का अधिकार - आईटी अधिनियम 2000 और आईटीएए 2008