Indie: Co jest w nowym rachunku za ochronę danych Indii?

Wzywa do wdrożenia środków zmniejszających podatność na dane i zapobieganie erozji prywatności użytkowników rozbudzi się na całym świecie.

Prywatność danych osobowych – czy Indie potrzebują przepisów takich jak RODO Europy i CCPA USA

Chociaż wszyscy zgodzilibyśmy się, że „Dane są towarem w okresie cyfrowym”, chroniąc go i zapewnia, że ​​prywatność danych staje się niezwykle krytyczna. Powszechnie wiadomo, że Indie są drugim co do wielkości ekosystemem online na świecie z ponad 900 milionami użytkowników Internetu. Wraz ze wzrostem penetracji Internetu liczba ta z pewnością wzrośnie w ciągu najbliższych 5 lat. Podobno Indie mają do czynienia z drugą co do wielkości liczbą naruszeń danych zgłoszonych na całym świecie. W tej chwili ważne jest, aby edukować użytkowników na temat gromadzenia danych i prywatności, a także budowania przepisów, które chronią osoby przed niewłaściwym wykorzystaniem ich danych osobowych.

Gdy cyfrowa zmiana i usługi przenoszą się do chmury, istnieje duża ilość bardzo precyzyjnych danych osobowych wymienianych nie tylko za pośrednictwem stron internetowych, które ludzie używają na swoich telefonach komórkowych, ale także za pośrednictwem urządzeń, takich jak kamery bezpieczeństwa/nadzoru, cyfrowe dzwonki do drzwi, termostaty kontroli temperatury, inteligentne automatyza. Głównym przypadkiem użycia gromadzenia danych jest ulepszenie i spersonalizowanie oferowanych usług, jednak można go niewłaściwie wykorzystać, aby zaatakować prywatność, bezpieczeństwo i zaufanie jednostki. Analiza tych danych, po zebraniu w odstępie czasu, może prowadzić do identyfikacji jednostek, wnioskowania o przekonaniach, preferencjach, religii lub zdrowia. Można ich ostatecznie wykorzystać do wpływania, powodowania zagrożeń dla bezpieczeństwa osobistego, ukierunkowanej reklamy, oszustw i hakowania. Na przykład analiza danych lokalizacji danej osoby w celu ustalenia sklepów/umieszcza indywidualne wizyty i z jaką częstotliwość może prowadzić do identyfikacji zainteresowań, zachowań społecznych, a także statusu społeczno-ekonomicznego.

W przypadku organizacji incydent na bezpieczeństwo danych może prowadzić do implikacji prawnych i biznesowych, a także braku zaufania użytkowników. Facebook-Cambridge Analytica Fiasco jest jednym z niesławnych naruszeń danych, w 2018 r. Dane dla prawie 87 milionów użytkowników Facebooka były używane bez ich zgody i zrozumienia. Dane niewłaściwie uzyskane z Facebooka zostały wykorzystane do tworzenia profili wyborców i wykorzystane do reklamy politycznej (bez zgody). To był największy wyciek danych, przed którym stoi Facebook. To doprowadziło do świadomości problemów związanych z prywatnością danych, w jaki sposób koncepcja prywatności zmienia się i podkreśliła niepokój klientów związanych z przyzwyczajeniem się do postępów technologicznych, ale nie jest w pełni świadomy zakresu erozji prywatności i kompromisów w zakresie jakości usług w porównaniu z prywatnością vs związane z prywatnością vs związane z prywatnością. Istnieją ustawienia prywatności ujawnione przez firmy; Nie są one jednak łatwe do zrozumienia, a nie ma również jasnego wpływu na wrażenia użytkownika na wyłączenie niektórych rodzajów dostępu do danych. Dla rządów naruszenie prywatności może doprowadzić do ryzyka wycieku poufnych informacji krajowych.

Zmiany w przepisach dotyczących technologii i danych są globalnym wyzwaniem. Ogólne przepisy dotyczące prywatności danych (RODO), które weszło w życie w 2018 r., Definiuje i jednoczą przepisy dotyczące prywatności w Unii Europejskiej (UE). RODO zapewnia nie tylko kontrolę prywatności osób, ale także składa obowiązki wobec organizacji posiadających swoje dane. Chiny ogłosiły przepisy dotyczące prywatności danych z ustawą o ochronie danych osobowych (PIPL) w 2021 r. Przepisy te przedstawiają również wymagania dotyczące prywatności danych dla firm z siedzibą poza Chinami/UE w celu zarządzania i wykorzystywania danych ich obywateli. Stany Zjednoczone nie mają ani jednego prawa o prywatności, ale kombinację przepisów państwowych lub sektorowych, takich jak Kalifornia Konsumencka Prywatność (CCPA) wprowadzona w 2018 r., A następnie Kalifornijska ustawa o prawach prywatności (CPRA) w 2020 r. Oraz Ustawa o prywatności i przenośności informacji o zdrowiu (HIPAA).

Jednak w przeciwieństwie do reszty świata, która ma przepisy dotyczące prywatności i regulacje mające na celu ochronę prywatności obywateli, Indie nadal nie mają prawa prywatności, aby zabezpieczyć swoich obywateli. W sierpniu 2017 r. Sąd Najwyższy Indii ogłosił prawo do prywatności jako podstawowe prawo dla obywateli Indii chronionych przez Konstytucję Indii. Zgodnie z prawem do prywatności Indie wprowadziły rachunek za prywatność danych w 2019 r.; Został jednak wycofany w 2022 r. I do tej pory nie zaproponowano żadnych nowych przepisów. Indie muszą zwiększyć swoje wysiłki i mieć przepisy dotyczące prywatności danych z globalną wizją dotyczącą prywatności danych. Przepisy wyciągają obciążenie obywateli i ustalają jasną wizję organizacji, aby je przestrzegać.

Indie: Co jest w nowym rachunku za ochronę danych Indii?

Rząd Indii opublikował nowy, uproszczony projekt cyfrowego rachunku za ochronę danych osobowych. Co to mówi?

18 listopada 2022 r. Rząd Indii opublikował długo oczekiwany czwarty projekt proponowanej Indii, przemianowany obecnie na cyfrową ustawę o ochronie danych osobowych („Bill”). Rząd szukał informacji zwrotnych na temat projektu ustawy 17 grudnia 2022 r.

Indie: Co w Indiach nowy rachunek za ochronę danych

Wzywa do wdrożenia środków zmniejszających podatność na dane i zapobieganie erozji prywatności użytkowników rozbudzi się na całym świecie.

Prywatność danych osobowych – czy Indie potrzebują przepisów takich jak Europa’S RODPR i USA’S CCPA

dr. Preeti Goel ma ponad 15 -letnie doświadczenie zawodowe i przyczyniło się do niektórych z najlepszych firm technologicznych na świecie, takich jak Microsoft, Google, Adobe i Amazon. Preeti Goel ma licencjat z informatyki, tytuł magistra IIT-Kanpur i pH.D. z University of Melbourne, Australia. MNIEJ . WIĘCEJ

Wzywa do wdrożenia środków zmniejszających podatność na dane i zapobieganie erozji prywatności użytkowników rozbudzi się na całym świecie.

Podczas gdy wszyscy się zgodzimy “Dane to towar w wieku cyfrowym”, Ochrona go i zapewnienie prywatności danych staje się niezwykle krytyczne. Jest dobrze znany fakt, że Indie są drugim co do wielkości ekosystemem online na świecie z ponad 900 milionami użytkowników Internetu. Wraz ze wzrostem penetracji Internetu liczba ta z pewnością wzrośnie w ciągu najbliższych 5 lat. Podobno Indie mają do czynienia z drugą co do wielkości liczbą naruszeń danych zgłoszonych na całym świecie. W tej chwili ważne jest, aby edukować użytkowników na temat gromadzenia danych i prywatności, a także budowanie przepisów, które chroni osoby przed niewłaściwym wykorzystaniem ich danych osobowych.

Gdy cyfrowa zmiana i usługi przenoszą się do chmury, istnieje duża ilość bardzo precyzyjnych danych osobowych wymienianych nie tylko za pośrednictwem stron internetowych, które przeglądamy, lub aplikacje używają na swoich telefonach komórkowych, ale także za pośrednictwem urządzeń, takich jak kamery bezpieczeństwa/nadzoru, cyfrowe dzwonki, termostaty kontroli temperatury, inteligentne automatyza. Zbieranie danych’Podstawowym przypadkiem użycia jest ulepszenie i spersonalizowanie oferowanych usług, jednak można go niewłaściwie wykorzystywać, aby uniknąć osoby’prywatność, bezpieczeństwo i zaufanie. Analiza tych danych, po gromadzeniu się w odstępie czasu, może prowadzić do identyfikacji osób, wnioskowania o osobie’przekonania, preferencje, religia lub zdrowie. Można je ostatecznie wykorzystać do wpływania, powodowania zagrożeń dla bezpieczeństwa osobistego, ukierunkowanej reklamy, oszustw i hakowania. Na przykład analiza osoby’S Dane lokalizacji w celu ustalenia sklepów/zawiera indywidualne wizyty i z jaką częstotliwość może prowadzić do identyfikacji zainteresowań, zachowań społecznych, a także statusu społeczno-ekonomicznego.

W przypadku organizacji incydent na bezpieczeństwo danych może prowadzić do implikacji prawnych i biznesowych, a także braku zaufania użytkowników. Facebook-Cambridge Analytica Fiasco jest jednym z niesławnych naruszeń danych, w 2018 r. Dane dla prawie 87 milionów użytkowników Facebooka były używane bez ich zgody i zrozumienia. Dane niewłaściwie uzyskane z Facebooka zostały wykorzystane do tworzenia profili wyborców i wykorzystane do reklamy politycznej (bez zgody). To był największy wyciek danych, przed którym stoi Facebook. To doprowadziło do świadomości problemów związanych z prywatnością danych, w jaki sposób koncepcja prywatności zmienia się i podkreśliła niepokój klientów związanych z przyzwyczajeniem się do postępów technologicznych, ale nie jest w pełni świadomy zakresu erozji prywatności i kompromisów w zakresie jakości usług w porównaniu z prywatnością w porównaniu do prywatności. Istnieją ustawienia prywatności ujawnione przez firmy, jednak nie są łatwe do zrozumienia, a nie ma również jasnego wpływu na wrażenia użytkownika na wyłączenie niektórych rodzajów dostępu do danych. Dla rządów naruszenie prywatności może doprowadzić do ryzyka wycieku poufnych informacji krajowych.

Zmiany w przepisach dotyczących technologii i danych są globalnym wyzwaniem. Europa’O ogólnych przepisów dotyczących prywatności danych (RODO), które weszło w życie w 2018 r., Definiuje i jednoczą przepisy dotyczące prywatności w Unii Europejskiej (UE). RODO zapewnia nie tylko kontrolę prywatności osób, ale także składa obowiązki wobec organizacji posiadających swoje dane. Chiny ogłosiły przepisy dotyczące prywatności danych z ustawą o ochronie danych osobowych (PIPL) w 2021 r. Przepisy te przedstawiają również wymagania dotyczące prywatności danych dla firm z siedzibą poza Chinami/UE w celu zarządzania i wykorzystywania danych ich obywateli. Stany Zjednoczone nie mają ani jednego prawa o ochronie prywatności, ale kombinację przepisów dotyczących państwowych lub sektorowych, takich jak Kalifornia Konsumencka Prywatność (CCPA) wprowadzona w 2018 r., A następnie Kalifornijska ustawa o prawach prywatności (CPRA) w 2020 r. Oraz ustawach o prywatności i przenośności informacji zdrowotnej (HIPAA).

Jednak w przeciwieństwie do reszty świata, która ma przepisy dotyczące prywatności i regulacje, które mają na celu ochronę prywatności obywateli, Indie nadal nie mają prawa prywatności, aby zabezpieczyć swoich obywateli. W sierpniu 2017 r. Sąd Najwyższy Indii ogłosił prawo do prywatności jako podstawowe prawo dla obywateli Indii chronionych przez Konstytucję Indii. Zgodnie z prawem do prywatności, Indie wprowadziły rachunek za prywatność danych w 2019 r. Indie muszą zwiększyć swoje wysiłki i mieć przepisy dotyczące prywatności danych z globalną wizją dotyczącą prywatności danych. Przepisy wyciągają obciążenie obywateli i ustalają jasną wizję organizacji, aby je przestrzegać.

Indie: Co jest w nowym rachunku za ochronę danych Indii?

Rząd Indii opublikował nowy, uproszczony projekt cyfrowego rachunku za ochronę danych osobowych. Co to mówi?

18 listopada 2022 r. Rząd Indii wydał długo oczekiwany czwarty projekt proponowanego prawa prywatności Indii, przemianowany obecnie na cyfrową ustawę o ochronie danych osobowych („rachunek”). Rząd szukał informacji zwrotnych na temat projektu ustawy 17 grudnia 2022 r.

Na pierwszy rzut oka rachunek jest całkiem niespodzianką. Jest to zupełnie nowy szkic, a nie przerwę poprzednich wersji i jest znacznie krótszy i prostszy. Znacznie odchodzi od modelu przepisów dotyczących prywatności RODO, który jest dziś dość powszechny.

Zastosowanie

Prawo ma zastosowanie tylko do danych osobowych gromadzonych online lub które są gromadzone offline, ale które jest zdigitalizowane. Prawo będzie miało zastosowanie do przetwarzania danych osobowych poza Indiami, jeżeli przetwarzanie to jest związane z profilowaniem zleceniodawców w Indiach lub jakąkolwiek działalnością oferowania towarów lub usług w Indiach. Prawo zwalnia również przetwarzanie danych w Indiach osób znajdujących się poza Indiami w ramach transgranicznej umowy: zasadniczo obejmuje to przemysł offshore/outsourcing.

Definicje

Ustawa wykorzystuje podobną terminologię jak poprzednie wersje. Dane dane są określane jako A ‘Dane główne ‘ a kontroler danych jest określany jako A ‘Dane powiernicze ‘. Nie ma koncepcji ani definicji poufnych danych osobowych. DPA jest określany jako Rada Ochrony danych Indii („DPBI”).

Podstaw do gromadzenia i przetwarzania

Zgoda jest nadal głównym podstawą do przetwarzania danych osobowych. Musi być „swobodnie podawany”, „konkretny”, „poinformowany” i „jednoznaczne wskazanie zgody” poprzez „jasne działanie afirmatywne”.

Wydaje się jasne wyraźna zgoda byłoby wymagane. Zgoda można również wycofać, których konsekwencje poniesione przez Dane Temat. Projekt ustawy zawiera również oczywiste podstawy do przetwarzania danych osobowych, takie jak zgodność z prawem i nakazami sądowymi, działania dotyczące epidemii lub sytuacji prawnych i.

Pojęcie uzasadnionego zainteresowania wydaje się być uchwycone na różne sposoby. Wymieniono kilka sytuacji, w których uznaje się, że wyrażono zgodę. Obejmują one przetwarzanie danych osobowych „w interesie publicznym”, w tym w celu zapobiegania lub wykrywania oszustw, bezpieczeństwa sieci i informacji, oceny kredytowej, przetwarzania publicznie dostępnych danych osobowych oraz odzyskania długu.

Wydaje się jednak niejasne, czy prywatne przedsiębiorstwa mogą korzystać z tych podstaw, biorąc pod uwagę, że przetwarzanie musi być „w interesie publicznym”. Istnieje również podstawa „uczciwego i rozsądnego celu”, ale w tym przypadku rząd musi powiadomić, jaki jest sprawiedliwy i rozsądny cel. W ten sposób rząd może rozważyć uzasadnione interesy danych.

Jednym z kluczowych podstaw jest to, że przetwarzanie danych osobowych jest „konieczne”, a dane osobowe są dostarczane dobrowolnie i „rozsądnie oczekiwano, że osoby, które dane o danych dostarczy takie dane osobowe”. Trzeba byłoby wykazać, że przetwarzanie jest „konieczne”, a dane osobowe zostały dostarczone „dobrowolnie”, a główny zasadnik danych powinien zapewnić takie dane.

Być może przepis ten mógł zostać lepiej opracowany, zakładając, że ma to być uzasadniony rodzaj gruntu. Prawdopodobnie stanie się to najważniejszym przepisem nowej ustawy dla firm, które nie chcą przejść trasy zgody.

Zatrudnienie

Istnieje odrębna podstawa do przetwarzania danych osobowych związanych z zatrudnieniem, które obejmuje zapobieganie szpiegostwie, utrzymanie poufności tajemnic handlowych i IP, rekrutację, rozwiązanie zatrudnienia, świadczenie usług lub świadczenia dla pracownika, weryfikacja frekwencji i ocena wyników. Dane osobowe mogą być gromadzone z tych powodów, o ile przetwarzanie jest „konieczne”.

Ogłoszenie

Poprzednie wersje projektu ustawy przewidziano obszerne informacje w ramach powiadomienia zleceniodawców danych. To było nadmierne. Ta wersja obejmuje tylko dwie rzeczy: rodzaje danych osobowych, które mają być przetwarzane i cele przetwarzania. Informacje te muszą być dostarczane w sposób wyszczególniony.

Dzieci

Projekt ustawy utrzymuje próg dla dzieci w wieku 18 lat. Będzie to postrzegane jako rozczarowanie świata online, ponieważ globalne standardy są zwykle bliższe 16 lat.

Wymagana jest weryfikowalna zgoda rodzicielska do gromadzenia danych osobowych dzieci. Ustawa zabrania również profilowania dzieci lub monitorowania behawioralnego lub ukierunkowanej reklamy dla dzieci. Jednak rząd jest uprawniony do zwolnienia tych wymagań poprzez powiadomienie.

Prawa i obowiązki dyrektorów danych

Dyrektorzy danych (podmioty danych) mają kilka praw. Obejmują one prawo wiedzieć, jakie dane osobowe są przetwarzane i prawo do skorygowania niedokładnych danych osobowych. Dyrektor danych może również poprosić o usunięcie danych osobowych na podstawie tego, że jego przechowywanie nie służy już celowi, dla którego został zebrany.

Co ciekawe, ustawa obejmuje obowiązki dyrektorów danych; zasadniczo obowiązek nie podania fałszywych informacji i nie zatytułowany frywolny lub fałszywy skargi

Przechowywanie danych osobowych

Projekt ustawy wymaga, aby dane powiernicze (kontroler danych) upewnić się, że utrzymane dane osobowe są dokładne i stosować odpowiednie środki organizacyjne i techniczne w celu przestrzegania prawa. Dane powiernice muszą również stosować rozsądne środki bezpieczeństwa, aby zapobiec naruszeniu danych. Powiernik danych może utrzymywać dane osobowe tylko tak długo, jak długo służy celowi, dla którego został zebrany lub w celu prawnego lub biznesowego. Następnie dane osobowe muszą zostać usunięte.

Naruszenie danych osobowych

Projekt ustawy określa „naruszenie danych osobowych” oznacza wszelkie nieautoryzowane przetwarzanie lub przypadkowe ujawnienie, wykorzystanie, zmiany lub zniszczenie danych osobowych, które naruszają jego poufność, integralność lub dostępność.

W przypadku naruszenia danych osobowych, powiernik danych lub główny dane muszą poinformować zarówno DPBI, jak i dotkniętych danych, w sposób określony przez rząd. Szeroka definicja naruszenia danych osobowych obejmowałaby niewielkie przypadki naruszenia danych, dla których powiadomienie dla rządu i dyrektorów danych wydaje się dość uciążliwe.

„Znaczące dane powiernicze”

Projekt prawa zachowuje koncepcję Znaczący dane powiernicze („SDF”). Jest to powiernik danych (kontroler), który spełnia kryteria ustanowione przez rząd. Przy ustalaniu, kto byłby SDF, rząd rozważy takie czynniki, jak wielkość danych i ryzyko szkody.

Co ciekawe, czynniki te obejmują również „potencjalny wpływ na uczciwość i suwerenność Indii” oraz „ryzyko demokracji wyborczej”. SDF są zobowiązane do wyznaczenia funkcjonariuszy ochrony danych, którzy muszą zgłosić się do zarządu organizacji. Muszą również wyznaczyć niezależnego audytora danych do kontroli zgodności z prawem prywatności. Rząd może również powiadomić, kiedy SDF muszą przeprowadzić oceny wpływu na prywatność.

Oficer ochrony danych

Do wyznaczenia funkcjonariusza ds. Ochrony danych zobowiązane są tylko SDF. Jednak każdy powiernik danych musi wyznaczyć osobę do działania jako punkt kontaktowy dla każdego, kto chce złożyć skargę. Dane kontaktowe urzędnika ds. Skarbowych muszą zostać opublikowane.

Lokalizacja danych i transfery

Projekt ustawy nie zawiera bezpośrednio przepisów dotyczących lokalizacji danych. Wymagania z poprzednich projektów, że krytyczne dane osobowe muszą być przechowywane tylko w Indiach lub że poufne dane osobowe mogą zostać przeniesione poza Indiami, ale w Indiach musi zostać zatrzymana kopia.

Ustawa stwierdza, że ​​rząd powiadomi kraje, do których danych osobowych można przenieść. Wydaje się, że dopóki rząd nie powiadomi tych krajów, dane osobowe mogą być swobodnie przenoszone poza Indiami, choć być może powiadomienie zostanie wydane w momencie wejścia w życie prawa. Prawo nie obejmuje innych sposobów na zezwolenie na transfery danych, takie jak poprzez standardowe klauzule umowne (jest to po całej metodzie, za pomocą której dane osobowe są obecnie przesyłane z UE do Indii).

Zwolnienie rządowe

Ustawa daje władzę rządowi do zwolnienia siebie i swoich agencji z jakiegokolwiek wymogu ustawy. Wspomniane podstawy, takie jak suwerenność i integralność Indii, bezpieczeństwo państwa itp., są pobierane z Konstytucji Indii, a także cytowane przez Sąd Najwyższy Indii jako podstawy, na których prawa prywatności mogą być ograniczone. Te podstawy są jednak dość szerokie i proporcjonalne i racjonalność nie są niezbędnymi składnikami.

Kary

Projekt nowego prawa określa kary za niezgodność. Istnieje harmonogram, który wspomina o czapkach karnych za konkretne naruszenia. Na przykład brak uzasadnionych zabezpieczeń bezpieczeństwa w celu zapobiegania naruszeniu danych osobowych wymagałoby kary do 25 milionów INR (około 30 milionów USD).

Kary w ogóle mogą wzrosnąć do 50 milionów INR (ok. 60 milionów USD). Co ciekawe, nie ma żadnych przepisów dotyczących przyznania odszkodowania dotkniętym osobom danych.

Analiza

Rząd przyjął zdecydowanie indyjskie podejście do opracowania tego przepisów. Jest znacznie prostszy niż wcześniejsze wersje i jest sprzeczne z obecnym trendem modelu przepisów dotyczących prywatności RODO. Ten rodzaj przepisów jest dość odpowiedni dla Indii, biorąc pod uwagę ich ogromny, niezorganizowany sektor MŚP i biorąc pod uwagę, że standardy zgodności z prywatnością są dość niskie w Indiach.

Prawdopodobnie oznacza to jednak, że ustawodawstwo nie uzyska orzeczenia adekwatności z UE. W każdym razie, ze względu na brak niezależnego nadzoru nad nadzorem rządu, prawo indyjskie nie jest w pełni przestrzegane Schrems II.

Istnieje jednak wiele problemów, z którymi należy się poradzić w prawie. Najważniejsze jest wyjaśnienie języka otaczającego uzasadniony rodzaj gruntu, który naszym zdaniem leży u podstaw przepisów dotyczących prywatności. To koncepcja „konieczności” wystarczająca do radzenia sobie z uzasadnionymi sytuacjami gromadzenia i przetwarzania danych osobowych?

Wygląda również na to, że wymagania dotyczące zawiadomienia obowiązują tylko po uzyskaniu zgody. Oznacza to, że gdy dane osobowe są przetwarzane na podstawie innych podstaw, które podlegają postanowieniu zgody, nie jest wymagane powiadomienie. Potrzeba przepisania zgody sama jest dyskusyjna. Zgoda nie jest tak naprawdę środkiem ochrony dla osób osobników, zwłaszcza że w większości przypadków osób danych danych nie ma wyboru, jak tylko wyrazić zgodę.

Przez cały czas moim zalecanym podejściem było posiadanie przepisów dotyczących lekkiego dotyku i umożliwienie DPA powolne regulacje poprzez delegowane przepisy dotyczące delegowanych. Projekt przepisów częściowo podąża za tym podejściem. Podczas gdy DPBI ma uprawnienia do przekazywania przepisów, odnoszą się wyłącznie do realizacji przepisów prawa. Można dyskutować, czy ma uprawnienia do przekazywania przepisów w sprawach nie wspomnianych w prawie. Na przykład problemy takie jak przenośność danych, prywatność według projektowania itp., Nie znajdź miejsca w rachunku. Lepiej byłoby, gdyby uprawnienia dane DPBI były bardziej szczegółowo napisane.

Zakaz ogólny śledzenia aktywności dzieci w Internecie i reklamie behawioralnej wydaje się nieco nieuzasadniony. W jaki sposób online wideo lub kanał muzyczny na przykład poleciłby dzieciom lub muzykę w oparciu o ich gusta bez śledzenia ich aktywności?

Ustawa daje również rządowi uprawnienia do zwolnienia któregokolwiek ze swoich agencji z jakiegokolwiek z przepisów prawa. Nie ma wspomnianego progu rozsądności ani progu proporcjonalności. Być może jednak można to odczytać w ustawie wydanym już przez Sąd Najwyższy Indii. Zwolnienie ogólne dla rządu w sprawie potrzeby usuwania danych, które nie służy już celowi, dla którego został zebrany, jest również niefortunne.

Niefortunne jest również, że skład DPBI nie został przepisany w prawie, pozostawiając rządowi, aby wyznaczyć każdego, kogo chcą. DPA DPA i zwinny jest bardzo wymagany, aby zarządzać przepisami dotyczącymi prywatności danych w Indiach, zwłaszcza biorąc pod uwagę, że niektóre wymagania prawa będą „jak można było określić” później „później”.

Ogólnie rzecz biorąc, przyjęte podejście ma sens, biorąc pod uwagę środowisko indyjskie i może zapewnić podkładkę uruchamiającą dla bardziej obszernych regulacji związanych z prywatnością w przyszłości. Istnieją oczywiście luki i opracowywanie błędów, ale należy się tego spodziewać w prostszych przepisach, które również uderzają w nową ścieżkę i jest opracowany przez osoby, które nie są ekspertami od prywatności. Oczekuje się, że rząd będzie współpracować ze społecznością prywatności, aby wypracować te problemy i przyjąć ten dokument do uchwalenia.

Treść tego artykułu ma na celu zapewnienie ogólnego przewodnika po temacie. Należy szukać specjalistycznych porad dotyczących twoich konkretnych okoliczności.

Czy Indie mają przepisy dotyczące prywatności danych?

23 listopada 2022

Indie’Nowy rachunek danych to mieszana torba do prywatności

Justin Sherman

Wyszukaj sugestie

Całkowite wyniki>/>

Ostatnie istotne

Wyniki filtru

Indie’S Parlament wydał swój cyfrowy rachunek za ochronę danych osobowych, drugie przepustki w zakresie kompleksowego prawa dotyczącego prywatności danych po tym, jak rząd wycofał rachunek za ochronę danych osobowych na początku tego roku. Obecny projekt jest krótszy niż drugi rachunek, choć ma wiele takich samych komponentów.

Indyjscy decydenci rozpowszechnili również komentarze na temat ustawy, które nie zostały publicznie udostępnione, ale o których tutaj omawiam. Co ważne, nowy rachunek oferuje mieszaną torbę na prywatność – z pewnymi wymogami dla firm, aby przyjmować jednostkę “zgoda,” Popraw niedokładne dane osobowe i chronić prawa danych wraz z postanowieniami dotyczącymi dostępu do danych. Ta analiza nie jest kompleksowa, ale podkreśla kilka kluczowych punktów notatek w przepisach, które stanowiłoby poważny rozwój globalnych regulacji danych.

Pomysł ‘zgoda’

Podobnie jak w przypadku starego rachunku, cyfrowy rachunek za ochronę danych osobowych wymaga przetwarzania danych organizacji (które nazywa “Dane powiernice”) pozyskać “zgoda” od osób, które przetwarzają dane. Kiedy dana osoba daje “zgoda,” rachunek mówi, że organizacja musi zapewnić tę osobę “wyszczególnione powiadomienie w jasnym i prostym języku” który opisuje zebrane dane i cel, dla którego są one przetwarzane, “Jak tylko jest to dość wykonalne.” Ustawa proponuje również, aby osoby fizyczne były w stanie ich wycofać “zgoda” Aby organizacje przetwarzały swoje dane, w którym to momencie omawiana organizacja musi przestać to robić.

To pojęcie zgody jest złamane i nie jest specyficzne dla Indii. Amerykańskie i europejskie firmy i decydenci naciskają ten sam pomysł. Ludzie nie czytają warunków umów serwisowych, a firmy, które flashują długi dokument z niedostępnym legalnym – czekając na osoby fizyczne “zaakceptować”- Udaj, że użytkownicy nie czytają ani nie rozumieją dokumentu.

To jest sprzeczne z samym pojęciem zgody.

Podobnie ludzie nie czytają polityk prywatności, ale wiele stron internetowych i aplikacji dosłownie twierdzi, że przeglądanie strony internetowej lub otwarcie wniosku sama stanowi zgodę na jej politykę prywatności. Ponadto zgoda nie jest w pełni i swobodnie wyrażona w świecie, w którym obywatele – w tym obywatele Indii – uzyskują dostęp do podstawowych usług bez podlegania gromadzeniu danych. Niemniej jednak nowy rachunek’Smos o zgodę stawia Indie stosunkowo w tym samym kierunku, co “zgoda” Postanowienia w amerykańskich przepisach dotyczących prywatności i ogólne rozporządzenie w sprawie ochrony danych w Unii Europejskiej.

Rządowe gromadzenie danych

Ustawa jeszcze bardziej osłabia to pojęcie zgody, określając wiele wyjątków, w tym wiele wyjątków dla rządu indyjskiego. Chociaż niektóre są prawdopodobnie bardziej rozsądne, inni stwarzają ryzyko prywatności dla obywateli Indii i generują złożone pytania prawne dla firm i organizacji działających w Indiach.

Uważa się, że osoby fizyczne w najnowszym projekcie rachunków publicznych wyraziły zgodę, czy przetwarzanie danych “jest konieczne” Do “Wykonanie dowolnej funkcji zgodnie z prawem,” “w celu zgodności z jakimkolwiek wyrokiem lub nakazem wydanym na podstawie jakiegokolwiek prawa,” “za reagowanie na awarię medyczną obejmującą zagrożenie dla życia lub bezpośredniego zagrożenia dla zdrowia [jednostki] lub innej osoby,” I “w celu podjęcia środków w celu zapewnienia bezpieczeństwa lub świadczenia pomocy lub usług dowolnej osobie podczas jakiejkolwiek katastrofy lub awarii zamówienia publicznego,” pośród innych. Zwolniłby również sytuacje, w których jest “rozsądnie oczekiwane” że ktoś dobrowolnie dostarczyłby swoje dane osobowe organizacji, przetwarzanie “Publicznie dostępne dane osobowe,” i punktacja kredytowa.

Chociaż niektóre z tych wyjątków mogą wydawać się rozsądne na ich twarzy (takie jak punktacja kredytowa), wiele jest bardzo niepokojących z perspektywy prywatności i praw obywatelskich. Rząd premiera indyjskiego Narendra Modi często wysuwa fałszywe twierdzenia o zagrożeniach dla bezpieczeństwa publicznego i nakazanie załamania protestów i sprzeciwu. Władze również przyciągnęły podobnie wątpliwe, ale publiczne ramki, twierdzi, że legalnie i retorycznie uzasadniają wyłączenie Internetu bardziej niż jakikolwiek inny kraj na Ziemi. W podobnej formie rachunek’S A Bieżący język pozwoliłby na gromadzenie danych w oparciu o “interes publiczny,” zdefiniowane wyjątkowo szeroko w celu obejmowania interesu Indii’Suwerenność i uczciwość, bezpieczeństwo państwowe, przyjazne stosunki z obcymi państwami, utrzymanie porządku publicznego, zapobieganie podżeganiu do dowolnej wspomnianej działalności (np. Podważające porządek publiczny) oraz zapobieganie rozpowszechnianiu rozpowszechniania “Fałszywe stwierdzenia faktów.”

Rząd Modi nie jest jedynym rządem w nominalnie demokratycznym kraju zaangażowanym w bezpośrednie niedemokratyczne praktyki. Jednak propozycja niewiarygodnie szerokich danych rządowych w ustawie wzmocniłaby nadzór państwa kosztem obywateli Indii’ prywatność i prawa obywatelskie. Zmusiłoby to również firmy i organizacje działające w Indiach do ciągłego zmagania się z jeszcze bardziej złożonym zestawem pytań prawnych dotyczących rozszerzonego dostępu rządu do danych.

Jeśli chodzi o to, że jest to tylko jeden składnik rządu Modi’Szersze dążenie do podważenia szyfrowania i zwiększenia zdolności do zmuszania firm technologicznych.

Lokalizacja danych

Najbardziej spornym elementem starego rachunku za ochronę danych osobowych były prawdopodobnie jego wymagania dotyczące lokalizacji danych. Te postanowienia wymagałyby organizacji z danymi osobowymi o obywatelach indyjskich do przechowywania tych informacji przechowywanych w kraju, w niektórych przypadkach jedynie kopii, aw innych przypadkach zapobiegania przekazaniu wychodzącym całkowicie. Różni indyjscy decydenci chcieli tych wymagań z wielu powodów, w tym na nakładanie kosztów zagranicznym firmom, zwiększając Indie’Przemysł przechowywania danych S, zwiększenie nadzoru rządu indyjskiego w zakresie przechowywania danych związanych z obywatelami Indii, a niektórzy to umożliwia lepszy indyjski dostęp do danych związanych z przestępczością posiadane przez firmy amerykańskie, które są obecnie mniej niż dostępne poprzez zepsucie wzajemnej pomocy prawnej traktatu traktatu o traktatu prawnym.

Nowy rachunek odchodzi od tego nacisku na lokalizację. Zamiast wymagać lokalnego przechowywania danych per se, proponuje umożliwienie indyjskiemu rządowi oceny obcych krajów’ Reżimy ochrony danych, a następnie certyfikuj osoby wystarczające do zapewnienia miejsc docelowych dla obywateli Indii’ dane. W szczególności stwierdza, “Rząd centralny może, po ocenie takich czynników, jakie może uwzględnić konieczne, powiadomić takie kraje lub terytoria poza Indiami, do których powiernik danych może przesyłać dane osobowe, zgodnie z takimi warunkami.”

Zagraniczne firmy z pewnością będą zadowolone z tej zmiany. Najczęściej ich skargi dotyczące lokalizacji danych powróciły do ​​kosztów – nie chcąc zapłacić za zmiany techniczne i infrastrukturę techniczną w celu przechowywania danych lokalnie w Indiach, a także innych kosztów prawnych i organizacyjnych. Istnieją jednak inne obawy generowane przez lokalizację danych, w tym koszty emisji klimatu dla zduplikowanej infrastruktury przechowywania danych i ryzyko bezpieczeństwa cyber.

Zapewniają one co najmniej kilka powodów, dla których rząd Indii odejdzie od wysoce kontrolowanego systemu lokalizacji danych.

Inne pomysły poddawane debaty

Obecna wersja rachunku na stronie internetowej Indian Ministerstwa Elektroniki i Technologii Informacyjnych nie ma zastosowania “nieautomatyczne przetwarzanie danych osobowych,” “Dane osobowe offline,” “Dane osobowe przetwarzane przez osobę w dowolnym celu osobistym lub krajowym,” I “Dane osobowe o osobie, która jest zawarta w rejestrze, która istnieje od co najmniej 100 lat.”

Co ciekawe, jedna zaznaczona wersja ustawy, którą sprawdziłem-których zmiany nie są odzwierciedlone w bieżącym projekcie online-zawarła sugestię również zwolnienia “Zobowiązane dane osobowe” to jest “należące do rządu centralnego lub stanowego, w zależności od przedmiotu, na który dane dotyczą” z rachunku. Zawierał również edycję do wyraźnego użycia wyrażenia “Bezprzewodnikowy przepływ z zaufaniem” Opisać przepisy dotyczące rządu indyjskiego’Zatwierdzenie zagranicznych transferów danych i przechowywania danych.

Czasy ekonomiczne doniesienia, w tym duchu, że w kolejnej iteracji ustawy będzie spowodować definiowanie rządu Indii “zaufane” Geografie, do których powiernicy danych mogą przesyłać i przechowywać dane związane z obywatelami Indii.

Ten pierwszy jest (tutaj) złą sugestią. W Stanach Zjednoczonych ustawodawcy federalni i stanowi nadal zwalniają “anonimowe” Lub “deidentyfikowany” Dane z przepisów dotyczących prywatności i rachunków pod fałszywym przekonaniem, że takie warunki są technicznie znaczące. Liczne badania pokazały, jak łatwo jest podobne połączenie “deidentyfikowany” Lub “anonimowe” Dane dla prawdziwych ludzi, biorąc pod uwagę postęp w analizie danych statystycznych, samą ilość danych na świecie, a firmy’ dostęp do punktów danych, które są niezwykle unikalne dla osób, takich jak historia geolokalizacji lub urządzenie’SMOTY Połączeni Wi-Fi.

Jednak ustawodawcy nadal zawierają te wyrzeźbienia w przepisach, w tym dlatego, że firmy przesuwają fałszywą linię “anonimowa” jest realne. Mam nadzieję, że Indie’S Parlament nie wpada w tę samą pułapkę. Nowe techniki lepszej ochrony poufności danych przy jednoczesnym przetwarzaniu ich organizacji, takich jak różnicowa prywatność, są cenne. Lepszą ścieżką jest rozpoznanie, że istnieje spektrum możliwości łączenia danych z ludźmi z imieniem lub przez inny wyraźny indywidualny identyfikator – i ten suma “anonimowa” to mit.

Druga sugestia w nieopublikowanym znaczniku rachunku, które dokonałem recenzji – zdanie “Bezprzewodnikowy przepływ z zaufaniem”—S odniesienie do wolnego przepływu danych z inicjatywą powierniczą kierowaną przez rząd japoński na G-20 2019 w Osace. W tym czasie opisał ogólne przekonanie, że kraje są zainteresowane umożliwieniem swobodnego przepływu danych między sobą, ale z pewnymi zabezpieczeniami. New Delhi odmówił podpisania początkowego swobodnego przepływu danych wraz z umową zaufania w 2020 r. – niejasne proklamacja w celu realizacji współpracy w sprawie “Bezprzewodnikowy przepływ z zaufaniem” Ramy-ponieważ widziały wysiłek, który jest zbyt napędzany przez kraje o wysokiej zasobach. Indie’Minister handlu i przemysłu to powiedział wówczas “Z uwagi na ogromny podział cyfrowy między krajami istnieje potrzeba przestrzeni politycznej dla krajów rozwijających się, które nadal muszą sfinalizować przepisy dotyczące handlu cyfrowego i danych. Dane są silnym narzędziem do rozwoju, a sprawiedliwy dostęp do danych jest dla nas kluczowym aspektem.”

W miarę jak rządy rozszerzają przepisy dotyczące przepływu danych, Indie’S odejście od takiego nacisku na lokalizację i na skupienie się na zaufanych geografiiach dostosowuje Indie z niektórymi z tych wysiłków-a nadal pozostawia przestrzeń dla decydentów, aby wykryć tak zwany czwarty sposób zarządzania danymi mające na celu globalne kraje Południowe. Co istotne, Indie przejmują również prezydencję G-20, co oznacza, że ​​przepływ wolny danych z podejściem typu zaufania może postawić kraj na wpływowej pozycji w celu zwiększenia globalnych rozmów danych w następnym roku.

Wniosek

Dokładała intensywnej debaty na temat ostatniej próby kompleksowej regulacji danych w Indiach, w tym wśród indyjskich decydentów, amerykańskich decydentów, amerykańskich firm technologicznych i interesariuszy społeczeństwa obywatelskiego w Indiach. Niewątpliwie tego rodzaju debaty będą działać wokół nowych przepisów.

Istnieje również wiele innych problemów i pytań, które zgłoszone przez propozycję, które zasługują na głębszą analizę i dyskusję – w tym artykule omówiono. Na razie jednak’jest jasne, że Indie zamierzają zasadzić swoją flagę w zakresie regulacji danych i gdzie gdzie “zaufane geografii” są zaniepokojeni, że rząd USA ma dużo miejsca na produktywne zaangażowanie.

Justin Sherman (@Jshermcyber) jest członkiem Rady Atlantyckiej’S Cyber ​​Statecraft Initiative. Był także członkiem AC South Asia Center’S grupa zadaniowa zajmująca się gospodarką cyfrową USA-India i prowadziła jej Grupa robocza W zakresie zasad danych USA-India.

Centrum Azji Południowej Służy jako Rada Atlantycka’Scentralny punkt pracy nad regionem, a także stosunki między tymi krajami, sąsiednimi regionami, Europą i Stanami Zjednoczonymi.

Indie – nowa próba uchwalenia kompleksowego prawa ochrony danych

W listopadzie 2022 r. Rząd Indii opublikował projekt cyfrowego rachunku ochrony danych osobowych z 2022 r. (“Rachunek”), w nowej próbie stworzenia kompleksowego systemu ochrony danych.

Program proponuje się, że zostanie złożony przed parlamentem Indii w pierwszej połowie 2023 r. Omawiamy kluczowe przepisy ustawy.

Droga do reformy

Indie nie wprowadziły jeszcze kompleksowych przepisów dotyczących ochrony danych. Obecne ramy regulacyjne pochodzą z sekcji 43A ustawy o technologii informatycznej, 2000 (“To działa”) oraz reguły informatyczne (rozsądne praktyki i procedury bezpieczeństwa oraz poufne dane osobowe lub informacje), 2011 (“Zasady SPDI”), które stosują konkretne i ograniczone obowiązki. Przepisy sektorowe mogą również mieć zastosowanie do podmiotów w sektorach regulowanych, takich jak usługi finansowe i telekomunikacja . Zobacz tutaj szczegółowe podsumowanie systemu ochrony danych w Indiach.

Rząd Indii podjął szereg prób wprowadzenia kompleksowego prawa ochrony danych. Na przykład wcześniej zaproponował rachunek za ochronę danych, 2021 (“2021 projekt rachunku”), które miały pewne podobieństwa do ogólnego rozporządzenia w zakresie ochrony danych (“RODO”).

Że projekt projektu 2021 został teraz wycofany i został zastąpiony nowym rachunkiem. Projekt ustawy został opracowany jako zupełnie nowe prawo i wydaje się być zarówno przyjazny dla rządu, jak i biznes; To nie jest iteracja projektu projektu 2021. Ustawa zastąpi sekcję 43A ustawy IT i zasad SPDI.

Zarys rachunku

Rachunek zaczyna się od wielu koncepcji, które są szeroko podobne do tych w RODO. Rządzi powiernikami danych (i.mi., kontrolery danych), procesory danych i dyrektorzy danych (i.mi., Osobnicy danych).

Ma to zastosowanie do przetwarzania cyfrowych danych osobowych, i.mi., Informacje dotyczące osoby, która może zidentyfikować taką osobę, w której dane są gromadzone online lub są digitalizowane po jej zebraniu offline.

Projekt projektu 2021 zawierał złożone wyznaczenie danych osobowych na poufne lub krytyczne dane osobowe oraz hierarchizację danych powierniczych’obowiązki S na podstawie rodzaju przetwarzanych danych osobowych. To zostało pozbawione. Dodatkowo, ‘Dane nieosobowe’ został usunięty z zasad rachunku, co jest mile widzianą zmianą.

Podstaw do przetwarzania – zgodny z prawem cel i zgoda

Przetwarzanie danych osobowych powinno być zgodne z projektem ustawy o legalnym celu, tj.mi., cel, który nie jest wyraźnie zabroniony przez prawo.

Zgoda pozostaje kluczowym podstawą do przetwarzania danych osobowych, ale, jak określono poniżej, jest zupełnie inną koncepcją zgody w ramach RODO. Dane powiernice muszą przekazać jasne i wyszczególnione powiadomienie (z opisem poszukiwanych danych osobowych i celem zebrania takich danych) w celu zainteresowania dyrektorów danych w celu uzyskania zgody.

Ustawa ma szeroką koncepcję zgody. Oprócz wyrażenia/ afirmatywnej zgody rozpoznaje ‘ uznana za zgodę’, którego zasad wydaje się być bardzo szeroki. Podczas gdy zgoda afirmatywna powinna być bezpłatna, specyficzna, poinformowana i jednoznaczna i może zostać wycofana, ‘uznana za zgodę’ nie wymaga jednostek’ działanie afirmatywne i nie przyciąga żadnych zobowiązań. Nie jest również jasne, w jaki sposób wycofanie się ‘uznana za zgodę’ pracowałbym.

Ustawa zawiera sytuacje, w których ‘uznana za zgodę’ można polegać na:

• w przypadku, gdy dane są dostarczane dobrowolnie z uzasadnionym oczekiwaniem, że dane muszą być dostarczone dla wspomnianego celu;
• Dane dostarczone w odniesieniu do celów prawnych lub sądowych;
• Dane dostarczone w odniesieniu do sytuacji kryzysowych i usług zdrowotnych;
• Dane dostarczone w odniesieniu do podziału porządku publicznego;
• Dane dostarczone w odniesieniu do zatrudnienia, które obejmuje zapobieganie szpiegostwie korporacyjnemu, utrzymanie poufności, rekrutacji i rozwiązania oraz obecności i oceny wyników; I
• Gdy dane są przetwarzane w interesie publicznym. Obejmuje to dane przetwarzane w odniesieniu do fuzji i przejęć i transakcji restrukturyzacji korporacyjnej, punktacji kredytowej, zapobiegania oszustwom itp. lub w jakimkolwiek uczciwym i rozsądnym celu ‘Jak można przepisać’.

Obowiązki powierników danych

Kluczowe obowiązki powierników danych obejmują:

• stosowanie środków w celu przestrzegania ustawy;
• zapewnienie dokładności i kompletności danych osobowych;
• stosowanie rozsądnych zabezpieczeń bezpieczeństwa w celu zapobiegania naruszeniu danych;
• usuwanie danych osobowych z rekordów po spełnieniu celu, chyba że zatrzymanie jest prawnie wymagane; I
• Zastosowanie mechanizmu naprawienia skarg.

Ustawa definiuje dzieci jako każdego poniżej 18 roku życia i wymaga weryfikowalnej zgody rodzicielskiej na przetwarzanie danych osobowych dzieci.

Firmy mogą być wyznaczone jako ‘Znaczące dane powiernice’, W oparciu o czynniki takie jak objętość i wrażliwość przetwarzanych danych osobowych, ryzyko szkody dla dyrektorów danych i potencjalny wpływ na Indie’S Bezpieczeństwo i porządek publiczny. Te ‘Znaczące dane powiernice’ podlegają dodatkowym zobowiązaniom, takim jak przeprowadzanie okresowych audytów i oceny wpływu na ochronę danych i powołując niezależnego audytora danych i urzędnika ds. Ochrony danych.

Organizacje, które rutynowo zajmują się dużymi ilościami danych osobowych (banki, firmy telekomunikacyjne, firmy ubezpieczeniowe, szpitale), prawdopodobnie będą należeć do tej kategorii, choć w przeciwieństwie do projektu rachunkowego, platformy mediów społecznościowych nie są specjalnie identyfikowane jako specjalnie identyfikowane jako ‘Znaczące dane powiernice’ .

Prawa i obowiązki dyrektorów danych

• prawo do informacji, takie jak status przetwarzania danych osobowych, podsumowanie przetwarzanych danych oraz nazwy firm ich dane osobowe zostały udostępnione;
• prawo nominacji jakiejkolwiek innej osoby, w przypadku śmierci lub niezdolności;
• prawo korekty i usuwania, które obejmują dane powiernicze danych’obowiązek korygowania niedokładnych/ wprowadzających w błąd danych, wypełnienia niekompletnych danych, aktualizacji danych osobowych i usuwania danych po spełnieniu celu; I
• prawo do zadośćuczynienia za skargę przed Radą Ochrony danych Indii lub powiernikami danych.

Niezwykle projekt ustawy nakłada również obowiązki na zleceniodawców danych (osoby). Mogą podlegać karom w wysokości 10 000 INR za niezgodność, unikalny przepis, który wydaje się wprowadzić w celu zapobiegania frywolnym skargom .

Lokalizacja danych i transfer danych transgranicznych

Chociaż ustawa nie nakazuje specjalnie przechowywania cyfrowych danych osobowych w Indiach, wymagania dotyczące lokalizacji danych na podstawie innych przepisów (e.G., nałożone przez Bank Rezerw Indii na banki i inne dostawców usług płatniczych) będą nadal ubiegać się o.

Ponadto, zgodnie z ustawą, transfery transgraniczne są dozwolone do jurysdykcji, że rząd indyjski ‘może przepisać’. Dlatego wydaje się, że transfery danych będą dozwolone tylko krajom, które znajdują się na białej liście rządowej.

A ‘Cyfrowe według projektu’ a niezależna, choć powołana przez rząd, Rada Ochrony danych Indii, złożona z przewodniczącego, dyrektora naczelnego, członków i innych pracowników, zostanie ustanowiona przez powiadomienie rządowe, aby zapewnić zgodność i karać niezgodność z powodu niezgodności.

Rada ma uprawnienia do prowadzenia badań, między innymi, Suo moto skargi lub skargi od osób dotkniętych osobami/ odniesieniami od rządu i wydania zamówień. Takie zamówienia można dalej przejrzeć przez zarząd lub odwołać się przed odpowiednimi sądami wysokimi. Rada może również zalecić alternatywne procesy rozwiązywania sporów i może powstrzymać jego postępowanie, przyjmując dobrowolne przedsięwzięcia od naruszenia podmiotów.

Podczas gdy kwota kar za B Reass i niezgodność ustawy jest wysoka (ograniczona do 500 koron INR, która wynosi około 60 mln euro), kary nie są powiązane z obrotem ogólnoświatowym jednostki, jak w przypadku PDPR i projektu ustawy z 2021 r. Kolejną mile widzianą zmianą było usunięcie sankcji karnych. Zdolność dotkniętych zasad danych do ubiegania się o odszkodowanie również została usunięta.

Podmioty państwowe są zwolnione z obowiązku nie zatrzymywania danych, nawet po spełnieniu celu i mogą być również zwolnione z postanowień ustawy przez rząd Indii w interesie państwa’bezpieczeństwo, suwerenność i uczciwość lub utrzymanie porządku publicznego .

Niektóre firmy mogą być również zwolnione przez rząd Indii z określonych określonych obowiązków. Ponadto wiele zobowiązań powierników danych nie ma zastosowania, gdy przetwarzanie jest konieczne (i) do celów sądowych/ quasi-sądowych przez sądy lub trybunały, (ii) za egzekwowanie prawa prawnego/ roszczenia lub (iii) w odniesieniu do przestępstwa w odniesieniu do przestępstwa.

Co następne

Projekt ustawy powinien zostać przedstawiony przed parlamentem Indii podczas sesji budżetowej na 2023 r. I będzie musiał zostać uchwalony przez oba domy parlamentu indyjskiego i powiadomić w oficjalnej gazecie, zanim stanie się prawem. Nawet po uchwaleniu ustawa prawdopodobnie zostanie wdrożona w sposób stopniowy w określonym okresie. Rząd Indii również wyznaczy zasady realizacji przepisów projektu ustawy.

Zobacz tutaj szczegółowy artykuł na temat podsumowania kluczowych poprawek zaproponowanych w rachunku.

Deepa Christopher, partner i Anindita Dutta, Associate, w Talwar Thakore & Associates, wiodącej indyjskiej kancelarii prawnej.