Conformidade do GDPR: aqui’s que as empresas indianas devem saber

Neste artigo, fornecerei um resumo do Regulamento Geral de Proteção de Dados (GDPR) e destacarei pontos -chave que as empresas indianas devem estar cientes.

1. O GDPR se aplica às organizações indianas: Embora o GDPR seja uma lei européia, ele se aplica a organizações indianas que fornecem bens ou serviços a indivíduos da União Europeia (UE) ou monitoram seu comportamento na UE.
2. Funções de controlador e processador: As organizações indianas podem atuar como um controlador (determinando como e por que os dados precisam ser processados) ou um processador (processando dados em nome de um controlador).
3. Proteção de dados pessoais: O GDPR protege os dados pessoais dos titulares de dados da UE, incluindo nome, email, endereço, endereço IP e muito mais. Proteção mais rigorosa é concedida a dados de categoria sensível, como opiniões políticas, crenças religiosas, etc.
4. Obrigações de conformidade com GDPR: As organizações indianas que se enquadram no escopo do GDPR precisam fornecer novos direitos aos titulares de dados da UE, incluindo o direito de ser esquecido, o direito de apagar, o direito de corrigir dados e o direito à portabilidade de dados.
5. Obrigações para controladores: Os controladores devem implementar medidas técnicas e organizacionais apropriadas para garantir a conformidade com o GDPR. Isso inclui ter políticas de proteção de dados, pseudonimização, criptografia e privacidade por design.
6. Requisitos contratuais: O contrato entre controladores e processadores para processamento de dados pessoais deve incorporar requisitos de GDPR.
7. Representante local e Diretor de Proteção de Dados: Organizações indianas fora da UE podem precisar designar um representante local e um oficial de proteção de dados, o que aumenta os custos de conformidade.
8. Consentimento claro e explícito: O consentimento procurado por titulares de dados deve ser claro e explícito. Caixas de consentimento pré-lotadas ou consentimento implícito não são suficientes sob o GDPR.
9. Medição de registros: Organizações que empregam mais de 250 pessoas precisam manter registros.
10. Notificação de violação de dados: As violações de dados devem ser relatadas às autoridades dentro de 72 horas e aos titulares de dados sem nenhum atraso indevido.
11. Transferências de dados transfronteiriças: Transferências de dados para terceiros ou países devem atender aos requisitos de adequação do GDPR. Atualmente, a Índia não é um país notificado.
12. Penalidades por não conformidade: A não conformidade com o GDPR pode levar a penalidades significativas. Multas monetárias podem ser de até 4% da rotatividade anual em todo o mundo ou 20 milhões de euros.
13. Risco de reputação: As organizações não compatíveis também enfrentam riscos de reputação e a potencial perda de clientes da UE.
14. Privacidade na era digital: A privacidade tornou-se uma prioridade na era digital, como demonstrado por controvérsias recentes como o escândalo do Facebook-Cambridge Analytica.
15. Ações imediatas para conformidade: As organizações indianas devem avaliar dados pessoais, revisar as políticas e contratos de privacidade, garantir que o consentimento seja obtido, ativar novos direitos de titular dos dados e ter procedimentos para detectar, relatar e investigar violações de dados.

Nota: Este artigo é baseado em minhas experiências e observações pessoais e não constitui aconselhamento jurídico. É essencial para as empresas indianas consultarem profissionais do direito para obter orientações específicas sobre conformidade com o GDPR.

Conformidade do GDPR: aqui’s que as empresas indianas devem saber

Notas de rodapé

GDPR: Aqui está o que as empresas indianas precisam saber

A regulamentação geral de proteção de dados como termo, já é conhecida pela maioria das organizações indianas que lidam com dados pessoais. GDPR, ou o regulamento geral de proteção de dados é a nova lei de privacidade da União Europeia (UE), que entrará em vigor a partir de 25 de maio de 2018. O GDPR se aplica a organizações indianas? Sim. Embora o GDPR seja uma lei européia, ele se aplicará a uma organização indiana se essa organização fornecer bens ou serviços a pessoas da União Europeia (UE) I I.e. Dados de dados da UE ou monitora seu comportamento na UE. Uma organização indiana pode atuar como um controlador (i.e. determinar como e por que os dados precisam ser processados) ou um processador (i.e. Processar dados em nome de um controlador). O GDPR prescreveu obrigações e penalidades específicas em ambos os casos. O GDPR protege ‘dados pessoais’ de dados de dados da UE, como nome, email, endereço, endereço IP, dados de localização, dados genéticos e biométricos, identificadores online, etc. Esses dados podem ser de funcionários, clientes, vendedores ou parceiros de negócios de uma organização. A proteção mais rigorosa é concedida a dados sensíveis da categoria, como opiniões políticas, crenças religiosas, associação sindical, origem racial ou étnica, etc. O que as organizações indianas precisam fazer para conformidade com o GDPR? Organizações indianas que estão no GDPR Ambit precisarão fornecer novos direitos aos titulares de dados da UE daqui para frente. Isso inclui: direito de ser esquecido, direito a apagar a dados pessoais, o direito de corrigir dados, portabilidade do direito à portabilidade de dados, etc. O GDPR prescreveu obrigações e responsabilidades detalhadas para controladores e processadores. Alguns críticos incluem: o controlador agora precisará implementar medidas técnicas e organizacionais apropriadas para garantir e demonstrar que está em conformidade com o GDPR, como políticas apropriadas de proteção de dados, pseudonimização, criptografia, privacidade por design e privacidade da inadimplência no momento do desenvolvimento e implementação do produto, etc. O contrato entre controlador e processador para o processamento de dados pessoais precisará incorporar os requisitos do GDPR; Controladores e processadores fora da UE precisarão designar um representante local na UE e um oficial de proteção de dados, em certos casos, que serão conformidade e custos adicionais para empresas indianas; O consentimento procurado pelos controladores de titulares de dados deve ser claro e explícito. Caixas de consentimento pré-lotadas/consentimento implícito não funcionará sob o GDPR. Opt-Out deve ser explícito; Registros a serem mantidos se uma organização empregar mais de 250 pessoas; Notificação de violação de dados às autoridades dentro de 72 horas e aos titulares de dados sem nenhum atraso indevido; Transferências de dados transfronteiriças com terceiros / países precisarão satisfazer o nível adequado de proteção como GDPR. A Índia ainda não é um país notificado. Quais são as penalidades e riscos de não conformidade? As penalidades são significativas sob o GDPR. Para não conformidade com os requisitos de consentimento do cliente, os direitos dos titulares de dados (discutidos abaixo), requisitos de transferência de dados transfronteiriços, etc. A penalidade monetária pode ser maior de: 4% da rotatividade anual em todo o mundo no exercício financeiro anterior ou 20 milhões de euros. Para não conformidades por controlador e processadores de suas obrigações sob o GDPR, as multas poderiam mais: 2% do faturamento anual em todo o mundo no ano financeiro anterior ou 10 milhões de euros. Isso pode ter implicações financeiras significativas para qualquer organização que faça negócios na Europa. Além disso, aí’também o risco de reputação e o risco de perder clientes/ clientes da UE se uma organização indiana não for compatível com o GDPR. As principais tocaes para as organizações indianas a privacidade adotaram um palco no palco da era digital, como é evidente na recente controvérsia do Facebook -Cambridge Analytica. UE é um mercado significativo para a indústria de TI/ BPO/ tecnologia indiana. Portanto, a conformidade com o GDPR tem prioridade para todas as organizações indianas que tenham negócios na UE. Com 25 de maio se aproximando, se ainda não fizeram, as empresas indianas podem avaliar o seguinte para conformidades imediatas: conduzir uma avaliação de dados pessoais em seus sistemas, revisar políticas e contratos de privacidade para garantir que eles sejam compatíveis com o GDPR; Avalie a fonte dos dados da UE, como eles são armazenados, se as medidas de segurança estão em vigor; Avalie se o consentimento conforme os requisitos do GDPR foi obtido para a coleta de dados pessoais; Caso contrário, é preciso alcançar imediatamente e obter consentimentos antes de 25 de maio de 2018; Certifique -se de ter sistemas para permitir novos direitos de titular dos dados dos indivíduos, incluindo como você excluiria dados pessoais; Certifique -se de ter procedimentos adequados para detectar, relatar e investigar uma violação de dados.(De Anshul Prakash, parceiro e Shweta Dwivedi, associado principal, Khaitan & CO)

Nós da MoneyControl usamos cookies e outras tecnologias de rastreamento para ajudá -lo na navegação e determinar sua localização. Também capturamos cookies para obter seus comentários, analisar seu uso de nossos produtos e serviços e fornecer conteúdo de terceiros. Ao clicar em ‘eu aceitar’, você concorda com o uso de cookies e outras tecnologias de rastreamento. Para mais detalhes, você pode consultar nossa política de cookies.

* Coletamos cookies para o funcionamento do nosso site e para oferecer a melhor experiência. Isso inclui alguns cookies essenciais.

Cookies de terceiros que podem ser usados ​​para personalização e determinar sua localização. Ao clicar em ‘eu aceito’, você concorda com o uso de cookies para aprimorar sua experiência personalizada em nosso site. Para mais detalhes, você pode consultar nossa política de cookies

* Eu concordo com a política de privacidade atualizada e garanto que estou acima de 16 anos

Concordo com o processamento de meus dados pessoais com o objetivo de recomendações personalizadas sobre produtos financeiros e similares oferecidos pela MoneyControl

Concordo anúncios personalizados e qualquer tipo de remarketing/redirecionamento em outros sites de terceiros

Eu concordo em receber comunicações de marketing direto por e -mails e sms

Selecione (*) todas as condições obrigatórias para continuar.

Introdução

Quase todos os dias compartilhamos nossos dados pessoais de uma maneira ou de outra, como, reservando ingressos de voo, ingressos de cinema, fazendo reservas de hotéis, efetuando login em sites de mídia social ou para fins de emprego. Mas você já se perguntou o que acontece com esses dados? Como as empresas usam e processam esses dados? Você pode optar por recusar a coleta ou processamento de seus dados? Você acha que as empresas devem aceitar seu consentimento antes de decidirem o que fazer com seus dados pessoais?

Países ao redor do mundo estão promulgando leis para a proteção de dados pessoais. As estatísticas da UNCTAD mostram que 66% dos países em todo o mundo têm legislação sobre proteção de dados. O Regulamento Geral de Proteção de Dados (GDPR) é uma dessas legislação, promulgada em 2018 para a proteção de dados pessoais de todos os Estados -Membros da União Europeia. A Índia ainda não aprovou o projeto de legislação sobre proteção de dados conhecida como Projeto de Proteção de Dados Pessoal (PDP), 2018 . Atualmente, os dados pessoais são protegidos pelas Regras Sensíveis de Dados Pessoais ou Informações (SPDI) 2011 sob a Lei de Tecnologia da Informação, 2000 .

Apesar da ausência de uma lei específica de proteção de dados pessoal na Índia, é extremamente importante entender se o GDPR é aplicável às empresas na Índia. Se sim, como eles podem cumprir com ele?

O que é GDPR e todas as empresas indianas precisam cumprir com ele?

O GDPR é uma legislação abrangente que visa proteger o processamento e o movimento de dados pessoais de indivíduos dentro e fora da UE . Embora tenha sido promulgada para a proteção de dados pessoais de todos os Estados -Membros da União Europeia, o impacto do GDPR é mundialmente em todo o mundo. Muitos países estão levando a privacidade e proteção de dados mais a sério após a promulgação do GDPR. As empresas estão tentando garantir que cumpram o GDPR e também estão elaborando a legislação regional de acordo com ele. Para entender esse regulamento e sua aplicabilidade, é importante saber quem é um processador de dados, controlador de dados e um titular de dados.

Artigo 4 (7) define ‘controlador’ como uma pessoa natural ou legal, autoridade pública, agência ou outro órgão que determina os propósitos e os meios do processamento de dados pessoais. A ‘processador’ Por outro lado, significa uma pessoa natural ou legal, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador, conforme o artigo 4 (8). Um titular dos dados é referido como uma pessoa natural identificada ou identificável, conforme o GDPR.

A aplicabilidade do GDPR é discutida no artigo 3 do GDPR. É aplicável em:

  • Todos os processadores de dados e controladores de dados dentro do território da UE
  • Todos os controladores de dados e processadores fora do território da UE que estão oferecendo bens ou serviços na UE estão perfilando indivíduos na UE
  • Processamento de dados pessoais como parte das atividades de um de seus ramos estabelecidos na UE.

Para garantir a proteção dos dados pessoais dos moradores dos Estados -Membros da UE, o GDPR também possui aplicabilidade extraterritorial. Isso significa que o escopo do GDPR se estende às nações, não dentro da jurisdição da UE. No entanto, nem todas as empresas indianas precisam cumprir com o GDPR. As empresas indianas que estão oferecendo quaisquer bens ou serviços na UE estão processando qualquer dados pessoais transferidos da UE ou estão perfilando os dados pessoais dos residentes da UE, precisam cumprir com o GDPR.

Como as empresas indianas devem estar em conformidade com o GDPR?

Depois de verificar se o GDPR é aplicável ao seu negócio na Índia, você precisa garantir o seguinte:

  1. Tendo uma política de privacidade atualizada:

Para ter uma política de privacidade compatível com o GDPR, as empresas indianas podem atualizar sua política de privacidade, incluindo:

  • Categorias de dados pessoais coletados: A política deve listar claramente o tipo de dados pessoais e categorias especiais de dados pessoais coletados, como nome, ID de email, endereço de casa/trabalho, crenças religiosas e políticas, etc.
  • Uso de dados pessoais: O objetivo e a base legal para a coleta e processamento de dados devem ser claramente indicados na política. Deve haver pelo menos uma base legal para coletar e processar dados pessoais das seis bases legais para o processamento de dados mencionados no artigo 6 do GDPR.
  • Consentimento: O consentimento explícito, livre e inequívoco deve ser retirado dos titulares de dados para processar seus dados. Isso oferece aos indivíduos uma escolha e controle reais sobre seus dados e privacidade.
  • Dados Direitos dos Dados: Os detalhes dos pedidos de processamento do titular dos dados em relação à aplicação de seus direitos que incluem o direito de retirar seu consentimento, o direito de restringir o controlador de dados de processar seus dados, o direito de ser esquecido ou o direito de portabilidade de dados, conforme fornecido sob o GDPR, são necessários para mencionar em uma política de privacidade/aviso.

2. Protegendo os direitos do titular dos dados:

Para qualquer empresa indiana ser compatível com o GDPR, eles têm para garantir que criem um mecanismo de solicitação de time de dados para proteger os direitos do titular dos dados. O capítulo 3 do GDPR é dedicado aos direitos do titular dos dados, que inclui o direito de acessar os dados, o direito de ser esquecido, o direito de restringir os dados de serem processados, o direito do titular dos dados de fornecer consentimento explícito do titular dos dados, direito de portabilidade de dados e direito à retificação.

3. Determinando se você é um controlador de dados ou processador:

As empresas indianas devem saber se são controladores ou processadores de dados com base em se estão decidindo como os dados são usados ​​ou apenas processando os dados. O capítulo 4 do GDPR define diferentes obrigações e passivos para o controlador e processador de dados. O controlador de dados é obrigado a implementar medidas técnicas e organizacionais apropriadas para garantir e demonstrar que o processamento é realizado de acordo com este regulamento. O controlador também deve revisar e atualizar essas medidas como e quando se tornar necessário. Considerando que o processador é obrigado a implementar as medidas acima mencionadas em nome do controlador e não pode envolver nenhum outro processador sem o controlador de dados’s autorização, conforme o artigo 28 do GDPR.

4. Mantendo registros de processamento de dados pessoais:

Todo controlador de dados e processador que possui mais de 250 funcionários é obrigado a manter um registro de atividades de processamento, conforme o artigo 30 do GDPR. Os registros do processamento de dados pessoais devem conter amplamente o seguinte:

  • Nome do controlador de dados ou/e processador.
  • Objetivo de coletar os dados.
  • Tipo de dados coletados.
  • Categorias de dados de dados cujos dados são coletados.
  • Nomes de destinatários a quem os dados são divulgados.
  • Atividades de processamento realizadas em nome do processador.
  • Documentação em caso de transferência de dados pessoais de titulares de dados para terceiros ou organizações internacionais.
  • Medidas de segurança são tomadas para processamento.

Esses registros devem ser mantidos por escrito ou em forma eletrônica e precisam ser disponibilizados à autoridade de supervisão, mediante solicitação.

5. Protegendo o processamento de dados pessoais:

Ao coletar e processar dados pessoais, pode haver um grande risco, como destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados ​​de outra forma. Para garantir a segurança dos dados, o controlador e o processador devem implementar medidas técnicas e organizacionais que incluem:

  • A pseudonimização e criptografia de dados pessoais.
  • Mantendo a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento.
  • Mecanismo para restaurar a disponibilidade e acesso a dados pessoais em tempo hábil.
  • Processo para testar regularmente, avaliar e avaliar a eficácia das medidas técnicas e organizacionais.

6. Avaliação de Impacto de Proteção de Dados:

Uma avaliação de impacto de proteção de dados é uma maneira de avaliar o impacto das atividades de processamento na proteção de dados pessoais pelo controlador de dados antes de realmente processá -los. É obrigatório para as empresas que usam perfis sistemáticos e extensos que afetam significativamente a pessoa natural, processam categoria especial ou dados de ofensa criminal em larga escala ou monitoram sistematicamente locais acessíveis ao público em grande escala. Uma avaliação de impacto de dados deve conter o seguinte:

  • Descrição sistemática das atividades de processamento e os propósitos do processamento
  • uma avaliação da necessidade e proporcionalidade das operações de processamento em relação aos propósitos;
  • Uma avaliação dos riscos para os direitos e liberdades dos titulares de dados
  • As medidas tomadas para abordar os riscos, incluindo salvaguardas, medidas de segurança e mecanismos para garantir a proteção de dados pessoais e demonstrar conformidade com esse regulamento, levando em consideração os direitos e interesses legítimos dos titulares de dados e outras pessoas em questão.

7. Fácil de ler a Política de Privacidade:

A Política de Privacidade deve ser escrita de tal maneira que possa ser facilmente compreendida por todos que podem ou não ter conhecimento das leis de proteção de dados e privacidade. Também pode ser disponibilizado nos idiomas locais onde a empresa está operando.

O que acontece se as empresas indianas não’t em conformidade com o GDPR?

Não conformidade com os requisitos do GDPR pode ter enormes consequências para um negócio. Existem dois níveis de multas administrativas cobradas sobre empresas para não conformidade. O nível 1 inclui uma multa de 10 milhões de euros ou 2% da empresa’s anual rotatividade global e o nível 2 incluem uma penalidade monetária de 20 milhões de euros ou 4% da empresa’s Rotatividade global anual para não conformidade com certas disposições dos regulamentos, conforme listado em 83 (4) e 83 (5) do GDPR.

O número total de multas para não conformidade do GDPR aumentou de 2018 a 2021. De fato, as penalidades quase dobraram para 332 milhões de dólares em janeiro de 2021. Em 2019, o Google foi multado em US $ 55 milhões pelo regulador francês por não divulgar adequadamente seus usuários sobre a coleta de seus dados para anúncios personalizados. Recentemente, em outubro de 2020, a H&M foi multada por quase US $ 41 milhões por manter ilegalmente registros excessivos sobre as famílias, religiões e doenças de sua força de trabalho. Esta informação foi coletada pelos gerentes da empresa da H&M’s Na Alemanha através de bate -papos informais e foi usado para avaliar seu desempenho no trabalho e tomar decisões de emprego.

Isso mostra como algumas das grandes empresas do mundo foram multadas após a não conformidade com os regulamentos do GDPR. As penalidades do GDPR são enormes e afetarão os negócios indianos em grande parte se não cumprirem o GDPR, dado o tamanho dos negócios da indústria de TI na Europa, que é estimado em cerca de 155-220 bilhões de dólares na Alemanha e na França sozinha.

Conclusão

A conformidade com o GDPR é extremamente essencial para as empresas indianas que estão no negócio com seus colegas da UE ou estão presentes na UE para evitar multas e riscos financeiros para a empresa. À medida que mais pessoas procuram ter controle sobre sua privacidade e dados pessoais usados ​​por organizações grandes e pequenas, a conformidade com o GDPR tornará as organizações confiáveis, transparentes e responsáveis ​​entre seus clientes e clientes.

Referências

  • https: // www.Spirion.com/blog/gdpr-fines-increase/
  • https: // www.pwc.In/Consulting/Cyber-Se-Segurança/Blogs/GDPR-WHAT-IT-MEAN-PARA-COMPRESSO-INDIANOS.fontes html#
  • https: // unctad.org/page/dados-proteção e privacy-legislation-worldwide

Alunos de Cursos de Lawsikho Produzir regularmente tarefas de redação e trabalhar em exercícios práticos como parte de seus cursos e se desenvolver em habilidades práticas da vida real.

Laathikho criou um grupo de telegrama para trocar conhecimentos jurídicos, referências e várias oportunidades. Você pode clicar neste link e participar:

Siga -nos no Instagram e assine nosso canal do YouTube para obter um conteúdo legal mais incrível.

Regulamento geral de proteção de dados da UE (GDPR)

Regulamento geral de proteção de dados GDPR da UE Índia

Como o regulamento afetará organizações indianas, GICs, setor de tecnologia e empresas que usam soluções ERP

Regulamento geral de proteção de dados da UE (GDPR)

As organizações de impacto do GDPR da UE na Índia? Leia mais sobre como evoluiu e o que mudou da antiga Diretiva de Proteção de Dados da UE de 1995.

Veja o relatório

GDPR da UE: Um ponto de vista para organizações do setor de tecnologia

A Europa é estimada em uma possível oportunidade de terceirização de US $ 45 bilhões para fornecedores de serviços de tecnologia indianos. Ser compatível com GDPR será uma oportunidade para as organizações de TI perseguirem novas avenidas na região da UE e também para renovar contratos existentes.

Veja o relatório

GDPR da UE: Um ponto de vista para centros internos globais na Índia

A regulamentação de proteção de dados da UE teria um impacto em ‘organizações que oferecem bens ou serviços aos clientes na UE’, ‘organizações que monitoram o comportamento (online) dos clientes da UE’ e durante esses serviços essas organizações acessar/processo/host/armazenar dados pessoais de clientes da UE. Leia uma perspectiva para os GICs na Índia.

Leia o relatório

GDPR da UE: Um ponto de vista para operações de ERP e HRMS

As organizações hoje usam várias soluções de ERP enquanto lidam com seus parceiros de negócios (e.g., funcionários, clientes, vendedores, etc.) e muitos capturam dados pessoais desses titulares de dados. É essencial entender qual desses titulares de dados e informações pessoais são abordados pelo GDPR (conforme informado na seção anterior).

Leia o relatório

O que você acha?

Você achou isso útil? sim não

Recomendações

O futuro do risco: dez tendências

Novo jogo, novas regras

bem vindo de volta

Ainda não é um membro? Junte -se à minha Deloitte

  • Lar
  • Localizador de escritório
  • Diretório Global de Escritório
  • Comunicados de imprensa
  • Envie RFP
  • Contate-nos
  • Deloitte India Alumni: Junte -se a nós

Serviços

Indústrias

  • Consumidor
  • Energia, recursos e industriais
  • Serviços financeiros
  • Governo e serviços públicos
  • Ciências da Vida e Cuidados de Saúde
  • Tecnologia, mídia e telecomunicações

Carreiras

  • Carreiras da Índia
  • Vida na Deloitte
  • Procura de emprego
  • Ex -alunos
  • Aviso para aspirantes a carreira

© 2022 Deloitte Touche Tohmatsu India LLP. Veja os termos de uso para obter mais informações.

Deloitte Touche Tohmatsu Índia Private Limited (U74140MH199 5PTC093339) Uma empresa privada limitada por ações foi convertida em Deloitte Touche Tohmatsu India LLP, uma parceria de responsabilidade limitada (identificação de LLP não. AAE-8458) com efeitos a partir de 1 de outubro de 2015.

Deloitte refere -se a uma ou mais de Deloitte Touche Tohmatsu Limited, uma empresa privada do Reino Unido limitada por garantia (“Dttl”), sua rede de empresas membros e suas entidades relacionadas. DTTL e cada uma de suas empresas membros são entidades legalmente separadas e independentes. DTTL (também referido “Deloitte Global”) não fornece serviços aos clientes. Por favor, veja www.Deloitte.com/prestes a saber mais sobre nossa rede global de empresas membros.

Clique aqui para acessar a Deloitte’S Princípios Globais de Conduta de Negócios.

Clique aqui para acessar um aviso essencial para os aspirantes de carreira.

Índia: GDPR em relação às leis indianas de proteção de dados indianas

A privacidade, como é conhecido, é a maior preocupação de todo o mundo. É um mito, ou pode haver alguns? Esta é uma pergunta que assombra cidadãos em todo o mundo. As empresas aproveitam e vendem seus produtos, alegando que garantirão sua privacidade. Os legisladores estão tentando se apossar dos violadores de dados, definindo as leis. No entanto, devido ao aumento da inovação e tecnologia, tornou -se difícil abordar questões relacionadas a violações e violações.

GDPR e suas disposições importantes

O GDPR é um regulamento que governa a coleta e processamento das informações pessoais e sensíveis dos cidadãos na UE. O regulamento coloca um mandato sobre as empresas que prestam serviços na UE ou através de qualquer intermediário para saber que seus consumidores da UE sobre os dados que o site está coletando e processando e o controle está com os próprios consumidores. Esses regulamentos se aplicam a todos os sites operacionais na UE ou podem ser acessados ​​por qualquer pessoa na UE, no entanto, o site é baseado em.

O regulamento abrange disposições que regulam as informações pessoais que uma empresa pode coletar e como pode usar essas informações, restringindo as empresas e encerrando as chances de as empresas enganarem os consumidores através de várias táticas que as empresas usaram anteriormente.

Artigo 5.1 e 5.2 do regulamento prevê vários princípios que são os pilares concretos para proteção de dados via GDPR, sendo lícitos, transparentes, precisos, limitação de armazenamento de dados, confidencialidade, responsabilidade etc. são alguns desses princípios. O novo regulamento também reconheceu vários novos direitos para os consumidores da UE, sendo o direito de ser informado, o direito de objetar, o direito de restringir, etc.

GDPR e sua conformidade

Todas as empresas que operam na UE e estocam e processam as informações privadas dos consumidores da UE (cidadãos) precisam cumprir com o GDPR. Também inclui as empresas que não têm presença na UE, mas o site está acessível na UE. O GDPR cria um ônus nas seguintes empresas para a conformidade da lei:

  1. Qualquer empresa que tenha operação/presença na UE.
  2. Qualquer empresa que não tenha operação/presença na UE, mas estoque e use informações de cidadãos da UE.
  3. A força do funcionário deve ser superior a 250.
  4. Menos de 250 funcionários, mas seu processamento de dados afeta os direitos e as liberdades dos titulares de dados, está em andamento ou envolve certos dados pessoais sensíveis.

A conformidade é, portanto, para toda empresa direta ou indiretamente envolvida na estoque e no uso das informações dos cidadãos da UE.

  • Quais são as principais conformidades que as empresas precisam cumprir?

Há um padrão que toda empresa elegível sob o GDPR tem que cumprir com. Existem várias conformidades, algumas das principais conformidade são as seguintes:

  1. Os visitantes do site são informados da coleção de dados.
  2. Ao clicar em um botão ou tomar outra ação, os visitantes consentem voluntariamente para esta coleção de informações.
  3. Se algum dos dados pessoais mantidos por um site for comprometido, o site notificará prontamente seus visitantes.
  4. É necessária uma avaliação da segurança de dados do site.
  5. Se um funcionário atual pode cumprir essa função sem a necessidade de contratar um Oficial de Proteção de Dados dedicados (DPO). 1

Existem várias maneiras de as empresas cumprirem com o GDPR. Auditar dados pessoais e manter um registro de todos os dados que eles coletam e processam são algumas das tarefas cruciais. Além disso, as empresas devem garantir que todos os visitantes do site vejam notificações de privacidade atualizadas e que quaisquer problemas de banco de dados sejam corrigidos.

  • Autoridade de conformidade para as empresas

O controlador de dados, o processador de dados e o oficial de proteção de dados estão entre as funções que o GDPR especifica como sendo responsável por garantir a conformidade (DPO). A pessoa que controla como e por que os dados pessoais são processados ​​é conhecida como controlador de dados. O controlador também deve garantir que os contratados externos sigam as regras.

Índia e GDPR – semelhanças e diferenças

Na Índia, a Lei de Tecnologia da Informação de 2000 (a seguir denominada Lei de TI) e as Regras de Tecnologia da Informação, 2011 (a seguir denominadas regras de TI) governam a proteção de dados on -line. A lei foi promulgada para fornecer reconhecimento legal para as transações digitais da transferência eletrônica de dados e outras técnicas de comunicação eletrônica 2 . A Lei de TI prevê passivos criminais e civis para acesso não autorizado a qualquer computador ou sistema de computador nos termos da Seção 66 e da Seção 43 da Lei, respectivamente,. A emenda no ano de 2009 trouxe empresas (órgão corporativo) sob o âmbito e o ônus foi criado sobre elas também. 3

Semelhanças e diferenças entre a Lei de TI e o GDPR

  1. A Lei de TI e o GDPR têm um objeto para controlar e regular a transferência de dados para o comércio eletrônico. Por outro.
  2. Tanto o GDPR quanto ele governam nos termos do artigo 5 e da regra 5, afirmam que:
  1. A coleta de dados deve ser feita com justificativa legal.
  2. A coleção deve ser necessária para atingir a meta declarada.

No entanto, os princípios orientadores do GDPR se aplicam ao processamento de dados. Por outro lado, os princípios descritos na Lei de TI se aplicam à reunião e uso da informação. O processamento não é declarado. Integridade dos dados, proteção contra processamento não autorizado, responsabilidade, justiça e transparência estão entre os princípios declarados no GDPR, mas não incluídos no ato de TI.

  1. Sob Regras de TI e GDPR, respectivamente, o consentimento do provedor de informações ou do titular dos dados é necessário para a coleta e processamento de informações. No entanto, o ato de TI não possui uma cláusula que aborda diretamente a “legalidade” do processamento, em contraste com o GDPR. O GDPR concede aos Estados membros a autoridade para definir requisitos especiais de processamento e listar cinco condições adicionais sobre a necessidade de processamento. A Lei de TI não implica esses requisitos.
  2. Ambos os regulamentos exigem consentimento antes da coleta de dados e dão aos fornecedores a opção de revogar esse consentimento.

No entanto, em contraste com o GDPR, o ato de TI não é:

  1. Definir consentimento
  2. Especifique as condições para o consentimento das crianças
  3. Exigir que o controlador de dados forneça evidências de consentimento.
  1. Ambas as regras classificam a orientação sexual, informações de saúde e dados biométricos como dados sensíveis. Categorias de dados pessoais sensíveis adicionais que não são cobertos pelos dois regulamentos são definidos pela Lei de TI e GDPR separadamente.
  2. Algumas disposições da seção 43A da TI agem alinhadas aproximadamente com os direitos do GDPR. Estes são os direitos de retificação, informação e revogar o consentimento.

O ato de TI não utiliza a palavra “certo” como o GDPR faz. A Lei de TI não se refere a alguns direitos significativos declarados no GDPR. Isso inclui os direitos de acessar informações, limitar o processamento, a portabilidade de dados, objetar, excluir e direitos relacionados à tomada de decisão e perfil de decisão automatizada. O GDPR fornece detalhes extensos sobre os direitos. Por outro lado, vários desses direitos só são fracamente descritos no ato de TI.

Caminho a seguir e conclusão

As decisões institucionais em particular que a Índia toma em relação à proteção de dados deve ter um grande impacto na economia do país. Essas repercussões podem ser diretas (como despesas elevadas de conformidade) ou indiretas (o potencial sufocamento da inovação e perdas gerais de produtividade). Mesmo que os números numéricos declarados nem sempre sejam precisos sobre a Índia, eles mostram os vários efeitos que uma regulamentação de privacidade de dados no estilo GDPR pode ter em diferentes segmentos da economia indiana.

Notas de rodapé

2 A Lei de Tecnologia da Informação, 2000.

O conteúdo deste artigo destina -se a fornecer um guia geral para o assunto. Conselhos especializados devem ser procurados sobre suas circunstâncias específicas.