Indyjska ustawa o ochronie cyfrowych danych osobowych z 2023 r.: kamień milowy w dziedzinie prywatności cyfrowej

Opublikowany: 2023-09-21

Nowa indyjska ustawa o ochronie danych osobowych z 2023 r. ma zastosowanie do każdej organizacji lub firmy zajmującej się gromadzeniem danych osobowych lub zarządzaniem nimi. Ustawa nie obejmuje wyłącznie przetwarzania danych na terenie Indii; ma również władzę nad przetwarzaniem danych, które ma miejsce poza Indiami.

Szybko rozwijający się krajobraz technologiczny Indii osiągnął znaczący kamień milowy wraz z wprowadzeniem i późniejszym przyjęciem ustawy o cyfrowej ochronie danych osobowych (DPDP) w 2022 r. To kluczowe ustawodawstwo uzyskało akceptację gabinetu Unii 5 lipca i zostało zaprezentowane podczas monsunowej sesji parlamentu , który rozpoczął się 20 lipca 2023 r. Szybko przeszedł przez proces legislacyjny, uzyskując zgodę zarówno w izbie niższej (Lok Sabha) 7 sierpnia, jak i izbie wyższej (Rajya Sabha) 9 sierpnia.

Dzięki oficjalnej zgodzie Prezydenta wydanej w dniu 11 sierpnia 2023 r., jak wskazano w powiadomieniu „Gazette rządu Indii”, ustawa o ochronie cyfrowych danych osobowych z 2022 r. oficjalnie przeszła w ustawę o ochronie cyfrowych danych osobowych z 2023 r.

Zasięg ustawy o ochronie cyfrowych danych osobowych z 2023 r. wykracza poza granice Indii i obejmuje przetwarzanie cyfrowych danych osobowych nawet wtedy, gdy odbywa się za granicą.

Pan Rajarshi Bhattacharyya, Prezes i Dyrektor Zarządzający ProcessIT Global , porównał Ustawę z obowiązującym ogólnym rozporządzeniem o ochronie danych (RODO) Unii Europejskiej (UE). Powiedział: „Jest bardziej zaawansowany, ponieważ RODO weszło jakiś czas temu. Ta polityka jest bardziej zaawansowana i wszechstronna, co przyspieszy postęp Indii”.

Rajarshi Bhattacharyya: Odporność cybernetyczna, polityka rządu i spostrzeżenia dotyczące bezpieczeństwa danych
Zdobądź cenne spostrzeżenia od Rajarshiego Bhattacharyyi z ProcessIT Global, gdy zagłębia się on w zagadnienia odporności cybernetycznej, implikacje polityki rządu i kluczowe aspekty bezpieczeństwa danych w dzisiejszym krajobrazie cyfrowym.
Sayantan Mondal StartupTalky

Ze wspólnego raportu organizacji branżowej IAMAI i firmy Kantar zajmującej się analizą danych rynkowych, znanego jako „Internet in India Report 2022”, wynika, że ​​ponad połowa populacji Indii, licząca 759 milionów osób, aktywnie korzystała z Internetu, uzyskiwanie do niego dostępu co najmniej raz w miesiącu w 2022 r. W raporcie podkreślono również, że spośród tych aktywnych użytkowników 399 milionów mieszka na obszarach wiejskich w Indiach, co stanowi więcej niż 360 milionów użytkowników na obszarach miejskich. Sugeruje to, że rozwój Internetu w tym kraju jest napędzany głównie przez wiejskie obszary Indii.

Nowa ustawa o ochronie danych kładzie nacisk na etyczną sztuczną inteligencję i globalny zasięg
Obowiązki podmiotów
Twoje prawa i obowiązki dotyczące Twoich danych osobowych
Sektor opieki zdrowotnej przygotowuje się na skutki

Nowa ustawa o ochronie danych kładzie nacisk na etyczną sztuczną inteligencję i globalny zasięg

Deepika Loganathan, dyrektor generalna HaiVE , powiedziała: „Z radością witamy przyjęcie przez parlament Indii ustawy o ochronie cyfrowych danych osobowych z 2023 r. (DPDPA-2023). To przełomowe ustawodawstwo doskonale wpisuje się w nasze wieloletnie zaangażowanie w etyczną sztuczną inteligencję i ochronę danych. Z przyjemnością informujemy, że nasze istniejące ramy dla rozwiązań AI on-premise już ściśle przylegają do siedmiu zasad i obowiązków określonych w ustawie.”

Ustawa ma zastosowanie do każdej organizacji lub firmy zajmującej się gromadzeniem danych osobowych lub zarządzaniem nimi. Kategoryzuje te organizacje na dwie grupy: te, które określają powody i metody przetwarzania (zwane powiernikami danych ) oraz te, które dokonują przetwarzania w oparciu o instrukcje powierników danych (zwane podmiotami przetwarzającymi dane ).

Ustawa nie obejmuje wyłącznie przetwarzania danych na terenie Indii; ma również władzę nad przetwarzaniem danych, które ma miejsce poza Indiami, w szczególności w odniesieniu do towarów i usług oferowanych osobom fizycznym w Indiach. Oznacza to, że wszelkie firmy oferujące towary lub usługi mieszkańcom Indii, niezależnie od ich fizycznej lokalizacji, podlegałyby jego jurysdykcji.

Pan Nageen Kommu, dyrektor generalny Digitap , powiedział: „W Digitap uważamy się za podmioty przetwarzające dane. Nie przechowujemy danych; przetwarzamy je w imieniu naszych klientów, którzy są powiernikami danych. Chociaż mogą nie istnieć szczegółowe wytyczne dla podmiotów przetwarzających dane, dobrowolnie przyjmujemy te same zasady i procedury, których przestrzegają powiernicy danych. W przypadku chęci wycofania zgody zapewniamy usunięcie danych zgodnie z wymogami Ustawy.”

Wspomniał również, że ustawa dotyczy również bezpieczeństwa danych podczas przechowywania i przesyłania, a Digitap posiada już solidne mechanizmy bezpieczeństwa, ponieważ są zgodne z normami RBI dotyczącymi outsourcingu, które nakładają obowiązek lokalizacji danych na terenie Indii.

Obowiązki podmiotów

Ustawa określa szereg obowiązków, których muszą przestrzegać podmioty w zakresie przetwarzania danych osobowych. Niektóre z kluczowych obowiązków obejmują:

  1. Informowanie osób fizycznych przed zebraniem ich danych osobowych, określenie, jakie dane będą zbierane, w jakim celu będą wykorzystywane oraz jakie prawa przysługują danej osobie.
  2. Uzyskanie zgody lub oparcie się na uzasadnionych powodach, gdy jest to konieczne.
  3. Zbieranie wyłącznie danych osobowych niezbędnych do wskazanego celu.
  4. Przechowywanie danych osobowych tylko tak długo, jak jest to potrzebne do zamierzonego celu, a następnie ich usuwanie.
  5. Ustanowienie mechanizmu rozpatrywania skarg i wątpliwości zgłaszanych przez osoby fizyczne.
  6. Wdrażanie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa.
  7. Powiadomienie Rady Ochrony Danych i osób, których to dotyczy, w przypadku naruszenia ochrony danych osobowych.
  8. Uzyskanie zgody rodziców lub opiekunów i powstrzymanie się od działań takich jak monitorowanie zachowań, śledzenie lub przetwarzanie, które mogłyby zaszkodzić dzieciom lub osobom niepełnosprawnym.
  9. Ograniczenie przekazywania danych osobowych poza Indie do określonych terytoriów.
  10. Przeprowadzanie ocen skutków dla ochrony danych, okresowe audyty danych oraz wyznaczanie inspektora ochrony danych i audytorów dla znaczących powierników danych.
  11. Spełnianie wymogów dotyczących transgranicznego przekazywania danych osobowych i ubieganie się o obowiązujące wyjątki.

Aby jeszcze bardziej dostosować się do obowiązków wynikających z ustawy o ochronie danych osobowych z 2023 r., Loganathan stwierdził, że HaiVE jest w trakcie udoskonalania zasad i procesów firmy. „Opracowujemy ustawę o ochronie danych osobowych cyfrowych z 2023 r., ramy zgodności, które będą służyć jako kompleksowy przewodnik dla naszego zespołu i naszych klientów. Ramy te będą automatycznie miały zastosowanie do wszystkich naszych przyszłych zobowiązań w Indiach, zapewniając bezproblemowe przestrzeganie przepisów ustawy” – dodała.

Twoje prawa i obowiązki dotyczące Twoich danych osobowych

Osobom fizycznym przyznano określone uprawnienia wynikające z przepisów prawa dotyczących sposobu przetwarzania ich danych osobowych. Prawa te obejmują:

  • Prawo dostępu : Osoby fizyczne mają prawo do informacji, jeśli ich dane osobowe są przetwarzane. Mogą zażądać podsumowania przetwarzanych danych, szczegółowych informacji na temat czynności przetwarzania (np. wykorzystania ich do celów reklamy ukierunkowanej), tożsamości podmiotów, którym udostępniono ich dane (takich jak podmioty przetwarzające lub strony trzecie) oraz rodzajów udostępnianych danych .
  • Prawo do poprawiania i usuwania : Osoby fizyczne mają prawo do poprawienia nieprawidłowych lub wprowadzających w błąd danych, uzupełnienia niekompletnych danych i aktualizacji swoich danych osobowych, szczególnie gdy dane te są udostępniane innym podmiotom lub wykorzystywane do podejmowania decyzji. Mogą także żądać usunięcia swoich danych osobowych (ewentualnie wycofać zgodę, jeśli podstawą jest zgoda), aczkolwiek podmioty mogą je zachować, jeśli wymaga tego zgodność z prawem.
  • Prawo do rozpatrywania skarg i nominacji : Ustawa wprowadza mechanizm rozpatrywania skarg, umożliwiający osobom fizycznym składanie skarg do podmiotów w zakresie zgodności z Ustawą. Podmioty muszą odpowiedzieć w określonym terminie. W przypadku niezadowolenia z odpowiedzi osoba fizyczna może przekazać sprawę Radzie Ochrony Danych. Ponadto osoba fizyczna może wyznaczyć osobę do wykonywania przysługujących jej praw dotyczących danych osobowych w przypadku jej ubezwłasnowolnienia lub śmierci.
  • Obowiązki : Ustawa określa również pewne obowiązki osób fizycznych, takie jak dostarczanie dokładnych informacji, powstrzymywanie się od podszywania się, zatajanie istotnych informacji lub składanie fałszywych skarg do Rady Ochrony Danych.

Ustawy i ustawy: Ustawa o ochronie cyfrowych danych osobowych, 2023 | 19 sierpnia 2023 r

Sektor opieki zdrowotnej przygotowuje się na skutki

Kapil Kumar, dyrektor ds. technologii – informatyka medyczna, Artemis Hospitals Gurugram wyraził obawy dotyczące konsekwencji tej zmiany dla sektora opieki zdrowotnej. Powiedział: „Ze względu na rosnące wykorzystanie cyfrowych technologii zdrowotnych, takich jak elektroniczna dokumentacja medyczna i telemedycyna, ustawa o ochronie cyfrowych danych osobowych z 2023 r. będzie miała znaczący wpływ na sektor opieki zdrowotnej”.

Według pana Kumara środek ten ma na celu uregulowanie gromadzenia, przechowywania i rozpowszechniania wrażliwych danych pacjentów, chroniąc w ten sposób prawa osób fizycznych do prywatności. Odniósł się także do poprzednich incydentów, które podkreślają jego znaczenie. Na przykład w 2019 r. miało miejsce nieupoważnione naruszenie dostępu, w wyniku którego naruszono dokumentację medyczną prawie 6,8 mln pacjentów i lekarzy. Podobnie w 2021 r. w wyniku włamania na strony internetowe rządu Indii ujawniono wyniki badań laboratoryjnych na temat Covid-19 u ponad 1500 mieszkańców. W Kerali przypadkowo ujawniono dane osobowe ponad 200 000 pacjentów. Rozporządzenie to jawi się jako orędownik ochrony prywatności danych w sektorze opieki zdrowotnej.

Ustawa znacząco różni się od obowiązującego prawa, które zapewnia ograniczoną ochronę, głównie w przypadku naruszenia bezpieczeństwa i tylko w przypadku określonych typów danych (wrażliwych danych osobowych). Z kolei ustawa zapewnia szerokie zabezpieczenia danych osobowych, nakładając obowiązki i przyznając jednostkom większą kontrolę i świadomość w zakresie ich danych osobowych.

Chociaż ustawa niewątpliwie oznacza znaczny postęp w ochronie praw cyfrowych osób fizycznych, późniejsze wysiłki Rady ds. Ochrony Danych w zakresie tworzenia przepisów i wspierania będą odgrywać kluczową rolę nie tylko we wzmacnianiu tych praw, ale także w ustanawianiu ustrukturyzowanych ram przetwarzania danych.