Darshil Surana
Partner, Kreston OPR Advisors
Darshil Surana ist ein erfahrener Fachmann und Partner bei O. P. Rathi & Co., wo er seit April 2023 maßgeblich an der Verbesserung von Geschäftsprozessen und der Umsetzung strategischer digitaler Transformationen beteiligt ist. Darshil verfügt über ein breit gefächertes Fachwissen in den Bereichen Innenrevision, Informationstechnologie und Management-Accounting und ist auf dem dynamischen Markt von Ahmedabad für seine Expertise in der Finanzberatung und -analyse bekannt.
Vor seiner jetzigen Tätigkeit war Darshil Surana Inhaber von Darshil Surana & Associates, ein Beweis für seinen Unternehmergeist und seine Kompetenz in strategischer Planung, Finanzanalyse und umfassender Besteuerung. Zu seinem Hintergrund gehören auch wichtige Funktionen bei Intech Systems, wo er als SBU-Leiter und Delivery Head funktionsübergreifende Teams leitete und die strategische Leistung der Geschäftseinheit für MS Dynamics NAV/BC verwaltete.
Darshils Aufstieg vom Fachberater zum Projektmanager spiegelt seine außergewöhnlichen Führungs- und Projektmanagementfähigkeiten wider. Den Grundstein für seine berufliche Laufbahn legte er bei CA Pradeepkumar H. Shah & Co, wo er seine Fähigkeiten in den Bereichen Buchhaltung und Wirtschaftsprüfung während seines Referendariats ausbaute. Darshil Suranas Karriere ist eine Mischung aus soliden beruflichen Erfahrungen und einem tiefen Verständnis für die Feinheiten von Finanz- und Geschäftsstrategien.
Indisches Gesetz zum Schutz digitaler persönlicher Daten, 2023 (DPDP Act)
November 3, 2023
Der Digital Personal Data Protection Act, 2023 (DPDP Act) wurde am 11. August 2023 in Indien verabschiedet. Das Gesetz zielt darauf ab, die persönlichen Daten und die Privatsphäre des Einzelnen in dieser digitalen Welt zu schützen. Dies ist ein wegweisendes Gesetz, das den Einzelnen und den Staat in die Lage versetzen kann, den Datenschutz zu gewährleisten. Das Gesetz legt einen Rahmen fest, der die Verwendung von Daten für angemessene und festgelegte Zwecke sicherstellen und Missbrauch verhindern soll. Darshil Surana von Kreston OPR Advisors erklärt.
Definitionen des Gesetzes zum Schutz digitaler personenbezogener Daten
Der Schwerpunkt des Gesetzes liegt auf dem “Schutz digitaler personenbezogener Daten”. Daher müssen die Daten einer Person in der digitalen Welt von denjenigen geschützt werden, die für die Erfassung, Speicherung und Verarbeitung dieser Daten verantwortlich sind. Lassen Sie uns zunächst versuchen, einige Definitionen in Abschnitt 2 des Gesetzes zu verstehen:
- Daten – “eine Darstellung von Informationen, Tatsachen, Konzepten, Meinungen oder Anweisungen in einer Weise, die für die Kommunikation, Interpretation oder Verarbeitung durch Menschen oder durch automatisierte Mittel geeignet ist” – Abschnitt 2(h).
- Personenbezogene Daten – “alle Daten über eine Person, die durch diese Daten oder in Bezug auf diese Daten identifizierbar ist” – Abschnitt 2(t).
- Digitale personenbezogene Daten – “personenbezogene Daten in digitaler Form” – Abschnitt 2(n)
Die erste Gruppe von Definitionen ist recht einfach. Die Begriffe “Daten”, “personenbezogene Daten” und “digitale personenbezogene Daten” wurden ausdrücklich definiert, um jegliche Unklarheit zu beseitigen. Es ist bemerkenswert, dass Daten umfassend definiert wurden als “… geeignet zur Kommunikation, Interpretation oder Verarbeitung durch Menschen oder durch automatisierte Mittel”. Unabhängig davon, ob die Daten von menschlicher oder künstlicher Intelligenz verarbeitet werden, fallen also beide unter das Gesetz. Einige Beispiele für digitale personenbezogene Daten sind:
– KYC-Datensätze wie PAN, Aadhaar, Führerschein usw.
– Kontaktinformationen wie E-Mail-Adresse, Telefonnummern usw.
– Benutzer-IDs und Profile in sozialen Medien.
– Audio – Visuelle Identifizierung von Personen, wie z. B. CCTV-Aufnahmen, Webcam-Bilder, Fotos und Videos in sozialen Medien usw.
– Biometrische Daten wie Fingerabdrücke, Iris-Scans, Gesichtserkennung usw.
- Auftraggeber der Daten – “die Person, auf die sich die personenbezogenen Daten beziehen, und wenn diese Person-
(i) ein Kind, einschließlich der Eltern oder des gesetzlichen Vormunds eines solchen Kindes;
(ii) eine Person mit einer Behinderung, einschließlich ihres gesetzlichen Vormunds, der in ihrem Namen handelt”
- Abschnitt 2(j).
- Datentreuhänder – “jede Person, die allein oder zusammen mit anderen Personen über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet” – Abschnitt 2(i).
- Datenverarbeiter – “jede Person, die personenbezogene Daten im Auftrag eines Datentreuhänders verarbeitet” – Abschnitt 2(k).
Der Daten-Prinzipal
Die nächste Reihe von Definitionen ist wichtig. Sie bilden die Grundlage für den Datenschutzrahmen. Die Person, auf die sich die Daten beziehen, wird als “Datenherr” bezeichnet. Im Mittelpunkt des Gesetzes steht der Datenschutzbeauftragte. Als “Datentreuhänder” wird die Person bezeichnet, die die Daten entweder in eigener Eigenschaft oder zusammen mit dem “Datenverarbeiter” erhebt, speichert und verarbeitet. Diese beiden Begriffe sind sehr unterschiedlich definiert worden. Lassen Sie uns die Definitionen anhand einiger Beispiele verstehen:
Abbildung 1:
A Limited ist ein Börsenmakler und Frau X möchte ein Demat-Konto bei ihm eröffnen. A Limited erhebt ihren Namen, ihre Adresse, ihre Kontaktnummer, ihre PAN und ihr Aadhaar und nimmt die Dienste von B Limited, einem Datenspeicher, in Anspruch, um die KYC zu überprüfen. In diesem Fall ist Frau X der Datenherr, A Limited ist Datentreuhänder und B Limited ist Datenverarbeiter.
Abbildung 2:
Frau X leitet eine Musikakademie, an der sie klassische Musik unterrichtet. Baby Y (10 Jahre alt) ist eine ihrer Schülerinnen. Frau X sammelt den Namen, die Adresse und die Kontaktdaten von Baby Y für ihre Unterlagen. In diesem Fall sind das Baby Y und seine Eltern die Auftraggeber der Daten und Frau X die Treuhänderin der Daten.
- Verarbeitung – “ist in Bezug auf personenbezogene Daten ein ganz oder teilweise automatisierter Vorgang oder eine ganz oder teilweise automatisierte Vorgangsreihe im Zusammenhang mit digitalen personenbezogenen Daten und umfasst Vorgänge wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung, das Auslesen, die Verwendung, den Abgleich oder die Verknüpfung, die Indexierung, die Weitergabe, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, die Einschränkung, das Löschen oder die Vernichtung” – Abschnitt 2(x).
Die Datenverarbeitung umfasst alle Arten und Methoden von der Datenerfassung bis zur Datenvernichtung. Jede dazwischen liegende Aktivität, bei der Daten verwendet werden, fällt unter die Definition der Verarbeitung. Dazu gehören auch Gesichts- oder Spracherkennungssoftware und Werkzeuge zur Identifizierung von Personen.
Anwendung des Gesetzes zum Schutz digitaler personenbezogener Daten
Das Gesetz zum Schutz digitaler personenbezogener Daten gilt für die Verarbeitung digitaler personenbezogener Daten innerhalb des indischen Hoheitsgebiets, wenn die personenbezogenen Daten in digitaler Form oder in nicht-digitaler Form erhoben und anschließend digitalisiert werden. Sie gilt auch für die Verarbeitung digitaler personenbezogener Daten außerhalb des indischen Hoheitsgebiets, wenn diese Verarbeitung in Verbindung mit einer Tätigkeit erfolgt, die mit dem Anbieten von Waren oder Dienstleistungen an Auftraggeber im indischen Hoheitsgebiet verbunden ist.
Wenn die Daten des Auftraggebers auch außerhalb Indiens verletzt werden, gilt das Gesetz auch dann, wenn die Waren/Dienstleistungen vom Auftraggeber innerhalb Indiens beschafft wurden. Der Anwendungsbereich des Gesetzes wurde also erweitert und ist nicht auf die Grenzen Indiens beschränkt.
Illustration:
Frau X ist Programmiererin mit Sitz in Pune und arbeitet freiberuflich über ein (in den USA registriertes) Portal, das als Aggregator für Dienstleistungsanbieter und -empfänger fungiert und zu diesem Zweck Daten wie Name, Adresse, Kontaktinformationen, Bankdaten, Kreditkartendaten usw. sammelt. In diesem Fall würde das Portal im Falle einer Verletzung der digitalen personenbezogenen Daten von Frau X unter die Bestimmungen des Gesetzes fallen.
Dieses Gesetz gilt jedoch nicht, wenn die personenbezogenen Daten von einer Person zu persönlichen Zwecken verarbeitet werden und die Daten vom Auftraggeber oder einer anderen gesetzlich verpflichteten Person zur Verfügung gestellt wurden.
Pflichten des Datentreuhänders
- Zustimmung – Das Gesetz erlegt dem Datentreuhänder verschiedene Verpflichtungen in Bezug auf die Art und Weise der Datenverarbeitung und den Schutz der Daten auf. Die erste und wichtigste Verpflichtung besteht darin, die “Einwilligung” des Auftraggebers einzuholen. Gemäß Abschnitt 6 des Gesetzes muss die Zustimmung des Auftraggebers “frei, spezifisch, in Kenntnis der Sachlage, bedingungslos und unzweideutig mit einer klaren bestätigenden Handlung” erfolgen. Weiter heißt es: “Die Einwilligung bedeutet eine Zustimmung zur Verarbeitung personenbezogener Daten für einen bestimmten Zweck und ist auf die personenbezogenen Daten beschränkt, die für diesen Zweck erforderlich sind. Das bedeutet, dass selbst dann, wenn der Auftraggeber seine Zustimmung zu relevanten und irrelevanten Daten gegeben hat, die Zustimmung nur auf die relevanten Daten beschränkt ist und der Datentreuhänder für die irrelevanten Daten haftet.
Illustration:
Frau X hat sich als Käuferin auf einem eCommerce-Portal registriert. Das eCommerce-Portal fragte nach ihrer Handynummer, ihrer Adresse und ihrer Telefonkontaktliste. Frau X gibt ihr Einverständnis zu beidem. Die Telefonkontaktliste ist jedoch für die Lieferung ihrer Waren/Dienstleistungen nicht erforderlich. Daher beschränkt sich ihre Zustimmung auf ihre Handynummer und Adresse zum Zwecke der Inanspruchnahme von Waren/Dienstleistungen über das eCommerce-Portal, auch wenn sie möglicherweise ausdrücklich zugestimmt hat, auch eine Kontaktliste zu übermitteln.
Verarbeitet der Datentreuhänder also Daten, für die er keine Einwilligung erhalten hat oder die er nach den Bestimmungen des Gesetzes als nicht erhalten ansieht, so haftet er für die Verletzung seiner Pflichten.
Darüber hinaus ist jeder Anfrage des Datentreuhänders an den Auftraggeber eine Mitteilung beizufügen oder voranzustellen, in der der Auftraggeber darüber informiert wird:
– Die personenbezogenen Daten und der Zweck, für den sie verarbeitet werden sollen.
– Wie kann der Auftraggeber seine Zustimmung zurückziehen und eine Beschwerde einreichen?
– Wie der Auftraggeber der Daten eine Beschwerde beim Data Protection Board of India einreichen kann.
Enthält die Zustimmung etwas, das gegen die Bestimmungen des Gesetzes oder der auf seiner Grundlage erlassenen Vorschriften verstößt, so ist die Zustimmung in dem Maße ungültig, in dem sie verletzt wird.
Illustration:
X, eine Privatperson, schließt eine Versicherungspolice über die mobile App oder Website von Y, einem Versicherer, ab. Sie gibt Y ihre Zustimmung zu (i) die Verarbeitung ihrer personenbezogenen Daten durch Y zum Zweck der Ausstellung der Police, und (ii) Verzicht auf ihr Recht, eine Beschwerde beim Data Protection Board of India einzureichen. Teil (ii) der Zustimmung, der sich auf den Verzicht auf das Recht, Beschwerde einzulegen, bezieht, ist ungültig.
Der Auftraggeber hat auch das Recht, die Zustimmung für die personenbezogenen Daten zu widerrufen, für die bereits eine gültige Zustimmung erteilt wurde. Bei Widerruf der Einwilligung muss der Datentreuhänder die Daten aus seiner Datenbank löschen lassen und sicherstellen, dass sie nicht mehr für die Verarbeitung verwendet werden.
- Bestimmte rechtmäßige Verwendung personenbezogener Daten – Der Datentreuhänder kann personenbezogene Daten des Auftraggebers für bestimmte rechtmäßige Zwecke verarbeiten, wie z. B.:
a. Wenn der Auftraggeber der Daten freiwillig personenbezogene Daten zur Verfügung gestellt hat und nicht ausdrücklich darauf hingewiesen hat, dass er nicht damit einverstanden ist.
b. Daten, die der Staat für die Zwecke eines geltenden Gesetzes anfordert.
c. Befolgung von Urteilen oder Beschlüssen
d. Reaktion auf einen medizinischen Notfall mit Lebensgefahr oder unmittelbarer Gefahr für die Gesundheit des Auftraggebers oder einer anderen Person
e. Ergreifung von Maßnahmen zur Bereitstellung von medizinischer Behandlung oder Gesundheitsdiensten
f. Ergreifung von Maßnahmen zur Gewährleistung der Sicherheit von Personen im Falle einer Katastrophe oder einer Störung der öffentlichen Ordnung.
g. Für Zwecke des Beschäftigungsverhältnisses oder zum Schutz des Arbeitgebers vor Verlust oder Haftung, z. B. zur Verhinderung von Betriebsspionage, zur Wahrung der Vertraulichkeit von Geschäftsgeheimnissen, geistigem Eigentum, Verschlusssachen oder zur Erbringung von Dienstleistungen oder Vergünstigungen, die von einem Dateninhaber, der Arbeitnehmer ist, beantragt werden. - Allgemeine Pflichten des Datentreuhänders – Der Datentreuhänder hat bestimmte Pflichten zu erfüllen, um das Gesetz einzuhalten:
a. Der Datentreuhänder ist für die Einhaltung der Bestimmungen des Gesetzes verantwortlich, unabhängig davon, ob der Auftraggeber seine Pflichten aus dem Gesetz nicht erfüllt.
b. Der Datentreuhänder kann einen Datenverarbeiter nur im Rahmen eines gültigen Vertrags beauftragen.
c. Gewährleistung der Vollständigkeit, Genauigkeit und Konsistenz der Daten.
d. Umsetzung geeigneter technischer Maßnahmen, um die wirksame Einhaltung der Bestimmungen des Gesetzes zu gewährleisten.
e. muss über angemessene Sicherheitsvorkehrungen verfügen, um die in seinem Besitz oder unter seiner Kontrolle befindlichen personenbezogenen Daten zu schützen, einschließlich der Daten, die in seiner eigenen Eigenschaft oder von Datenverarbeitern verarbeitet werden.
f. Informieren Sie das Data Protection Board of India im Falle einer Verletzung des Schutzes personenbezogener Daten.
g. Löscht personenbezogene Daten und veranlasst die Löschung durch den Datenverarbeiter, wenn der Auftraggeber seine Einwilligung widerruft oder wenn der angegebene Zweck nicht mehr erfüllt wird. - Persönliche Daten von Kindern – Der Datentreuhänder muss:
a. vor der Verarbeitung personenbezogener Daten die überprüfbare Zustimmung der Eltern bzw. des gesetzlichen Vertreters eines Kindes einholen.
b. keine Verfolgung oder Verhaltensüberwachung von Kindern oder gezielte, an Kinder gerichtete Werbung vornehmen.
Rechte und Pflichten des Dateninhabers
Dem Dateninhaber wurden im Rahmen des Gesetzes verschiedene Rechte und Privilegien eingeräumt, um den Schutz seiner persönlichen digitalen Daten zu gewährleisten. Sie sind auch verpflichtet, die Bestimmungen des Gesetzes einzuhalten.
- Rechte des Dateninhabers:
a. Recht auf Auskunft über die personenbezogenen Daten: Der Auftraggeber hat das Recht, eine Übersicht über die vom Datentreuhänder verarbeiteten personenbezogenen Daten zu erhalten.
b. Der Dateninhaber hat das Recht, die personenbezogenen Daten zu ändern oder zu löschen, indem er seine Zustimmung gemäß dem Gesetz widerruft.
c. Im Falle eines Verstoßes durch einen Datentreuhänder hat der Auftraggeber der Daten das Recht, über den Datentreuhänder und das Data Protection Board of India Beschwerde einzulegen. - Aufgaben des Datenschutzbeauftragten:
a. Einhaltung der Bestimmungen des Gesetzes.
b. sich nicht als eine andere Person auszugeben, wenn sie personenbezogene Daten für einen bestimmten Zweck bereitstellt.
c. keine wesentlichen Informationen zu unterdrücken, wenn sie personenbezogene Daten für ein Dokument, eine eindeutige Kennung, einen Identitätsnachweis oder einen Adressnachweis angeben, die vom Staat oder einem seiner Organe ausgestellt wurden.
d. keine falschen oder unseriösen Beschwerden oder Klagen einzureichen
e. Legen Sie nachprüfbare und authentische Informationen vor.
Sanktionen für Verstöße gegen die Bestimmungen des Gesetzes
Das Gesetz enthält strenge Vorschriften für die Einhaltung durch die Datentreuhänder. Außerdem sieht es strenge Strafen für Verstöße gegen die Bestimmungen des Gesetzes vor. Werfen wir einen Blick auf einige der in dem Gesetz vorgesehenen Sanktionen:
Sr. Nein. Verstoß Strafe
1 Der Verstoß gegen die Verpflichtung des Datentreuhänders, angemessene Sicherheitsvorkehrungen zu treffen, um eine Verletzung des Schutzes personenbezogener Daten gemäß Abschnitt 8 Unterabschnitt (5) zu verhindern, kann bis zu 250 Millionen INR betragen.
2 Verstoß gegen die Pflicht zur Benachrichtigung des Vorstands oder des betroffenen Auftraggebers über eine Verletzung des Schutzes personenbezogener Daten nach § 8 Abs. 6. Kann auf INR 200 Crores erweitert werden.
3 Die Verletzung zusätzlicher Pflichten in Bezug auf Kinder gemäß Abschnitt 9 kann bis zu INR 200 Crores betragen.
4 Verletzung der zusätzlichen Pflichten des bedeutenden Datentreuhänders nach § 10. Kann bis zu INR 150 Crores betragen.
5 Verstoß gegen eine andere Bestimmung dieses Gesetzes oder der auf seiner Grundlage erlassenen Vorschriften. Kann auf INR 50 Crores erweitert werden.
Wie Sie sehen, kann die Strafe je nach Art des Verstoßes zwischen INR 50 und INR 250 betragen. Dies erfordert, dass alle Organisationen, die unter die Definition von Datentreuhändern oder Datenverarbeitern fallen, Maßnahmen ergreifen, um die Einhaltung des Gesetzes und seiner Vorschriften zeitnah zu gewährleisten. Es wird erwartet, dass die Regierung eine Übergangsfrist einräumt, um die Umsetzung von Maßnahmen zur Gewährleistung der Einhaltung der Vorschriften zu ermöglichen.
Schlussfolgerung
Die Organisationen sollten proaktiv eine Datenschutz-Folgenabschätzung durchführen lassen und ein Verzeichnis der zu treffenden Maßnahmen erstellen. Diese können die folgenden Bereiche umfassen:
- Entwurf von Zustimmungsmechanismen.
- Annahme von IT- / IS- und Cybersicherheitsmaßnahmen.
- Ernennung geeigneter Compliance-Beauftragter innerhalb der Organisation.
- Entwicklung von Richtlinien für die Datenspeicherung, Datenarchivierung und Datenbereinigung sowie von Werkzeugen zur Umsetzung dieser Richtlinien.
Auch der Einzelne sollte sich über das Gesetz informieren und seine Rechte und Privilegien kennen. Sie haben riesige Datenmengen online auf verschiedenen Portalen veröffentlicht. Dieses Gesetz gibt ihnen die Möglichkeit, die Kontrolle darüber zu übernehmen, wie ihre Daten genutzt und geschützt werden können.
Wenn Sie mehr über den Digital Personal Data Protection Act in Indien erfahren möchten, nehmen Sie bitte Kontakt mit uns auf.