Закон Индии о защите цифровых персональных данных 2023 года: веха в области цифровой конфиденциальности

Опубликовано: 2023-09-21

Новый Закон Индии о защите цифровых персональных данных 2023 года распространяется на любую организацию или предприятие, занимающееся сбором или управлением персональными данными. Закон распространяется не только на обработку данных внутри Индии; он также имеет полномочия на обработку данных, происходящую за пределами Индии.

Быстро развивающаяся технологическая среда Индии достигла важной вехи с введением и последующим принятием Закона о защите цифровых персональных данных (DPDP) в 2022 году. Этот ключевой закон получил одобрение Союзного кабинета министров 5 июля и был представлен во время муссонной сессии парламента. , который начался 20 июля 2023 года. Он быстро прошел законодательный процесс, получив одобрение как в нижней палате (Лок Сабха) 7 августа, так и в верхней палате (Раджья Сабха) 9 августа.

С официального согласия президента, полученного 11 августа 2023 года, как указано в уведомлении правительственной газеты Индии, Законопроект о защите цифровых персональных данных 2022 года официально превратился в Закон о защите цифровых персональных данных 2023 года.

Действие Закона о защите цифровых персональных данных 2023 года выходит за пределы Индии и охватывает обработку цифровых персональных данных, даже если они проводятся за границей.

Г-н Раджарши Бхаттачария, председатель и управляющий директор ProcessIT Global , сравнил закон с действующим Общим регламентом защиты данных (GDPR) Европейского Союза (ЕС). Он сказал: «Это более продвинутый вариант, потому что GDPR вышел некоторое время назад. Эта политика является более продвинутой и всеобъемлющей, что будет способствовать прогрессу Индии».

Раджарши Бхаттачария: киберустойчивость, государственная политика и безопасность данных
Получите ценную информацию от Раджарши Бхаттачарии из ProcessIT Global, который углубится в сферу киберустойчивости, последствия государственной политики и важнейшие аспекты безопасности данных в современном цифровом мире.
Саянтан Мондал StartupTalky

Согласно совместному отчету отраслевой организации IAMAI и компании по анализу рыночных данных Kantar, известному как «Отчет об Интернете в Индии за 2022 год», выяснилось, что более половины населения Индии, составляющее 759 миллионов человек, активно пользуются Интернетом. доступ к нему не реже одного раза в месяц в течение 2022 года. В отчете также подчеркивается, что из этих активных пользователей 399 миллионов проживают в сельской Индии, что превышает 360 миллионов пользователей в городских районах. Это говорит о том, что распространение Интернета в стране в первую очередь продвигается за счет сельской Индии.

Новый закон о защите данных делает упор на этичном искусственном интеллекте и глобальном охвате
Обязательства для юридических лиц
Ваши права и обязанности в отношении ваших личных данных
Сектор здравоохранения готовится к последствиям

Новый закон о защите данных делает упор на этичном искусственном интеллекте и глобальном охвате

Дипика Логанатан, генеральный директор HaiVE , сказала: «Мы рады приветствовать принятие Парламентом Индии Закона о защите цифровых персональных данных 2023 года (DPDPA-2023). Этот знаковый закон идеально согласуется с нашей давней приверженностью этичному искусственному интеллекту и защите данных. Мы рады сообщить, что наша существующая структура для локальных решений искусственного интеллекта уже точно соответствует семи принципам и обязательствам, изложенным в Законе».

Закон распространяется на любую организацию или предприятие, занимающееся сбором или управлением персональными данными. Он делит эти организации на две группы: те, которые определяют причины и методы обработки (называемые «Фидуциарами данных »), и те, которые выполняют обработку на основе инструкций «Фидуциариев данных» (называемые « Обработчиками данных »).

Закон распространяется не только на обработку данных внутри Индии; он также имеет полномочия на обработку данных, происходящих за пределами Индии, особенно в отношении товаров и услуг, предлагаемых физическим лицам в Индии. Это означает, что под его юрисдикцию подпадут любые предприятия, предлагающие товары или услуги жителям Индии, независимо от их физического местонахождения.

Г-н Нагин Комму, генеральный директор Digitap , сказал: «В Digitap мы считаем себя обработчиками данных. Мы не храним данные; мы обрабатываем их от имени наших клиентов, которые являются доверенными лицами данных. Хотя конкретных правил для обработчиков данных может и не быть, мы добровольно принимаем те же политики и процедуры, которым следуют доверенные лица. Если клиент желает отозвать согласие, мы гарантируем удаление данных в соответствии с требованиями Закона».

Он также упомянул, что закон также касается безопасности данных во время хранения и передачи, и Digitap уже имеет надежные механизмы безопасности, поскольку они соответствуют нормам аутсорсинга RBI, которые требуют локализации данных в Индии.

Обязательства для юридических лиц

Закон определяет ряд обязательств, которые должны соблюдать организации при обработке персональных данных. Некоторые из ключевых обязанностей включают в себя:

  1. Информирование лиц перед сбором их персональных данных с указанием того, какие данные будут собираться, цели их использования и права, которыми обладают лица.
  2. Получение согласия или использование законных причин, когда это необходимо.
  3. Сбор только тех персональных данных, которые необходимы для заявленной цели.
  4. Хранить персональные данные только до тех пор, пока это необходимо для намеченной цели, с последующим их удалением.
  5. Создание механизма рассмотрения жалоб и проблем, поднятых отдельными лицами.
  6. Реализация соответствующих технических и организационных мер безопасности.
  7. Уведомление Совета по защите данных и затронутых лиц в случае утечки персональных данных.
  8. Получение согласия родителей или опекунов и воздержание от таких действий, как поведенческий мониторинг, отслеживание или обработка, которые могут нанести вред детям или лицам с ограниченными возможностями.
  9. Ограничение передачи персональных данных за пределы Индии на определенные территории.
  10. Проведение оценок воздействия на защиту данных, периодические проверки данных, а также назначение сотрудника по защите данных и аудиторов для важных доверенных лиц данных.
  11. Соблюдение требований относительно трансграничной передачи персональных данных и поиск применимых исключений.

Чтобы еще больше соответствовать обязательствам Закона о защите цифровых персональных данных от 2023 года, Логанатан заявил, что HaiVE находится в процессе доработки политик и процессов компании. «Мы разрабатываем Закон о защите цифровых персональных данных 2023 года, систему обеспечения соответствия, которая послужит всеобъемлющим руководством для нашей команды и наших клиентов. Эта основа будет автоматически применяться ко всем нашим будущим мероприятиям в Индии, обеспечивая четкое соблюдение положений Закона», — добавила она.

Ваши права и обязанности в отношении ваших личных данных

В соответствии с законом физическим лицам предоставлены особые права в отношении обработки их личных данных. Эти права включают в себя:

  • Право на доступ : Физические лица имеют право быть информированными, если их личные данные обрабатываются. Они могут запросить сводку обрабатываемых данных, подробную информацию о действиях по обработке (например, их использование для целевой рекламы), идентификационные данные организаций, которым были переданы их данные (например, обработчики или третьи стороны), а также типы передаваемых данных. .
  • Право на исправление и удаление . Физические лица имеют право на исправление неточных или вводящих в заблуждение данных, дополнение неполных данных и обновление своих личных данных, особенно когда эти данные передаются другим организациям или используются для принятия решений. Они также могут запросить удаление своих личных данных (или отозвать согласие, если согласие является основанием), хотя организации могут сохранить их, если это необходимо для соблюдения законодательства.
  • Право на рассмотрение жалоб и выдвижение кандидатур : Закон вводит механизм рассмотрения жалоб, позволяющий отдельным лицам подавать жалобы в организации относительно соблюдения Закона. Организации должны ответить в течение определенного периода времени. Если люди недовольны ответом, они могут передать вопрос в Совет по защите данных. Более того, физические лица могут назначить кого-либо для осуществления своих прав в отношении персональных данных в случае их недееспособности или смерти.
  • Обязанности : Закон также определяет определенные обязанности отдельных лиц, такие как предоставление точной информации, воздержание от выдачи себя за другое лицо, сокрытие существенной информации или подача ложных жалоб в Совет по защите данных.

Законопроекты и законы: Закон о защите цифровых персональных данных, 2023 г. | 19 августа, 2023

Сектор здравоохранения готовится к последствиям

Капил Кумар, главный технический директор отдела медицинской информатики, Artemis Hospitals Gurugram, выразил обеспокоенность по поводу последствий для сектора здравоохранения. Он сказал: «В связи с растущим внедрением цифровых технологий здравоохранения, таких как электронные медицинские карты и телемедицина, Закон о защите цифровых личных данных 2023 года окажет значительное влияние на сектор здравоохранения».

По словам г-на Кумара, эта мера направлена ​​на регулирование сбора, хранения и распространения конфиденциальных данных пациентов, тем самым защищая права людей на неприкосновенность частной жизни. Он также сослался на предыдущие инциденты, которые подчеркивают его значение. Например, в 2019 году произошла несанкционированная утечка доступа, в результате которой были скомпрометированы медицинские записи почти 6,8 миллиона пациентов и врачей. Аналогичным образом, в 2021 году в результате взлома веб-сайтов правительства Индии были раскрыты результаты лабораторных анализов на COVID-19 более чем 1500 жителей. В Керале была случайно раскрыта личная информация более чем 200 000 пациентов. Это постановление выступает в качестве защитника конфиденциальности данных в секторе здравоохранения.

Закон существенно отличается от действующего закона, который предлагает ограниченную защиту, в основном в случаях нарушений безопасности и только для определенных типов данных (конфиденциальные персональные данные). Напротив, Закон предлагает обширные гарантии защиты персональных данных, налагая ответственность и предоставляя людям больший контроль и осведомленность о своей личной информации.

Хотя этот закон, несомненно, знаменует собой существенный прогресс в защите цифровых прав людей, последующие нормотворческие и пропагандистские усилия Совета по защите данных будут играть решающую роль не только в укреплении этих прав, но и в создании структурированной структуры для обработки данных.