
Даршіл Сурана
Партнер, Kreston OPR Advisors
Даршил Сурана – досвідчений професіонал і партнер компанії O. P. Rathi & Co., де він відіграє важливу роль у вдосконаленні бізнес-процесів та впровадженні стратегічних цифрових трансформацій з квітня 2023 року. Маючи різноманітний набір навичок, що включає внутрішній аудит, інформаційні технології та управлінський облік, Даршил відомий своєю експертизою у сфері фінансового консультування та аналітики на динамічному ринку Ахмадабаду.
До своєї нинішньої посади Даршил був власником компанії Darshil Surana & Associates, що є свідченням його підприємницького духу та майстерності у стратегічному плануванні, фінансовому аналізі та комплексному оподаткуванні. Його досвід також включає ключові ролі в компанії Intech Systems, де в якості керівника SBU та керівника відділу постачання він очолював міжфункціональні команди та керував стратегічними показниками діяльності бізнес-підрозділу MS Dynamics NAV/BC.
Зростання Даршила від функціонального консультанта до керівника проекту відображає його виняткові лідерські якості та навички управління проектами. Основи його ранньої кар’єри були закладені в компанії CA Pradeepkumar H. Shah & Co, де він відточував свої бухгалтерські та аудиторські здібності під час написання статей. Кар’єра Даршила Сурани – це поєднання потужного професійного досвіду та глибокого розуміння тонкощів фінансових і бізнес-стратегій.
Закон Індії про захист цифрових персональних даних 2023 року (Закон DPDP)
November 3, 2023
Закон про захист цифрових персональних даних 2023 року (Закон DPDP) був прийнятий в Індії 11 серпня 2023 року. Закон спрямований на захист персональних даних і приватності осіб у цифровому світі. Це знакове законодавство, яке може розширити можливості громадян і держави у забезпеченні конфіденційності даних. Закон встановлює рамки для забезпечення використання даних для належних і визначених цілей та уникнення зловживань. Даршил Сурана з Kreston OPR Advisors пояснює.
Визначення Закону про захист цифрових персональних даних
Закон наголошує на “Захисті цифрових персональних даних”. Отже, дані будь-якої людини в цифровому світі потребують захисту з боку тих, хто відповідає за їх збір, зберігання та обробку. Спочатку спробуємо розібратися з деякими визначеннями, наведеними у розділі 2 Закону:
- Дані – “представлення інформації, фактів, концепцій, думок або інструкцій у формі, придатній для передачі, інтерпретації або обробки людьми чи автоматизованими засобами” – Розділ 2(h).
- Персональні дані – “будь-які дані про особу, яка може бути ідентифікована за цими даними або у зв’язку з ними” – Розділ 2(t).
- Цифрові персональні дані – “персональні дані в цифровій формі” – Розділ 2(n)
Перша група визначень досить проста. Дані, персональні дані та цифрові персональні дані були чітко визначені, щоб усунути будь-яку плутанину та двозначність. Варто зазначити, що дані широко визначаються як “…придатні для передачі, інтерпретації або обробки людиною або автоматизованими засобами”. Таким чином, незалежно від того, чи обробляються дані людським або штучним інтелектом, вони обидва підпадають під дію Закону. Деякі приклади цифрових персональних даних
– KYC-записи, такі як PAN, Aadhaar, водійські права тощо.
– Контактні дані, такі як адреса електронної пошти, номери телефонів тощо.
– Ідентифікатори та профілі користувачів соціальних мереж.
– Аудіо – візуальна ідентифікація осіб, наприклад, записи з камер відеоспостереження, зображення з веб-камери, фотографії та відео в соціальних мережах тощо.
– Біометричні дані, такі як відбитки пальців, сканування райдужної оболонки ока, розпізнавання обличчя тощо.
- Суб’єкт персональних даних – “фізична особа, якої стосуються персональні дані, і місцезнаходження цієї фізичної особи”.
(i) дитина, включає батьків або законних опікунів такої дитини;
(ii) особа з інвалідністю, включаючи її законного опікуна, який діє від її імені”
- Розділ 2(j).
- Довірена особа – “будь-яка особа, яка самостійно або спільно з іншими особами визначає мету та засоби обробки персональних даних” – Розділ 2(і).
- Обробник даних – “будь-яка особа, яка обробляє персональні дані від імені Довіреної особи” – Розділ 2(k).
Принцип даних
Наступний набір визначень є важливим. Вони закладають основу для системи захисту даних. Фізична особа, до якої відносяться дані, називається “Принципал даних”. Саме Принципал даних є центральним елементом Закону. “Довірена особа” означає особу, яка збирає, зберігає, обробляє дані або самостійно, або разом з “Обробником даних”. Обидва ці терміни мають широке визначення. Давайте розберемося з визначеннями на кількох прикладах:
Ілюстрація 1:
A Limited є біржовим брокером, і пані X бажає відкрити у них демосчет. A Limited збирає її ім’я, адресу, контактний номер, PAN та Aadhaar і користується послугами B Limited, що є сховищем даних, для перевірки KYC. Тут пані X є розпорядником даних, A Limited – довіреною особою, а B Limited – процесором даних.
Ілюстрація 2:
Пані Х керує музичною академією, де викладає класичну музику. Дитина Y (10 років) – одна з її учениць. Пані X збирає ім’я, адресу та контактні дані дитини Y для її записів. Тут Дитина Y та її батьки є Основним розпорядником даних, а пані X – Довіреною особою.
- Обробка – “стосовно персональних даних означає повністю або частково автоматизовану операцію або сукупність операцій, що виконуються над цифровими персональними даними, і включає такі операції, як збирання, запис, організацію, структурування, зберігання, адаптування, пошук, використання, узгодження або комбінування, індексування, поширення, розкриття шляхом передачі, розповсюдження або надання в інший спосіб, обмеження, стирання або знищення” – Розділ 2(x).
Обробка даних охоплює всі режими та методи, починаючи від збору даних і закінчуючи їх знищенням. Будь-яка діяльність, що здійснюється в проміжку між ними шляхом використання даних, буде охоплена визначенням “Обробка”. Він також включатиме програмне забезпечення та інструменти для розпізнавання обличчя або голосу, що використовуються для ідентифікації осіб.
Застосування Закону про захист цифрових персональних даних
Закон про захист цифрових персональних даних застосовується до обробки цифрових персональних даних на території Індії, де персональні дані збираються – в цифровій формі; або в нецифровій формі, а потім оцифровуються. Це також стосується обробки цифрових персональних даних за межами території Індії, якщо така обробка пов’язана з будь-якою діяльністю, пов’язаною з пропозицією товарів або послуг Суб’єктам даних на території Індії.
Якщо дані розпорядника даних були порушені навіть за межами Індії, Закон все одно застосовуватиметься, якщо товари/послуги були придбані розпорядником даних в Індії. Таким чином, Закон розширив сферу застосування і не обмежується межами Індії.
Ілюстрація:
Пані Х – програмістка з Пуни, яка працює фрілансером на порталі (зареєстрованому в США), що діє як агрегатор для постачальників та отримувачів послуг і з цією метою збирає такі дані, як ім’я, адреса, контактна інформація, банківські реквізити, дані кредитних карток тощо. У цьому випадку на Портал поширюватимуться положення Закону у разі порушення цифрових персональних даних пані Х.
Однак цей Закон не застосовується, якщо персональні дані обробляються фізичною особою в особистих цілях, а доступ до них надається володільцем даних або будь-якою іншою особою, яка зобов’язана за законом.
Обов’язки фідуціарного власника даних
- Згода – Закон покладає на Довірену особу різні зобов’язання щодо способу обробки та захисту даних. Першим і головним обов’язком є отримання “Згоди” від Володільця даних. Згідно зі статтею 6 Закону, згода, надана володільцем персональних даних, має бути “вільною, конкретною, поінформованою, безумовною та недвозначною, з чіткою позитивною дією”. У ньому також зазначено, що “згода означає згоду на обробку персональних даних з визначеною метою та лише тими персональними даними, які є необхідними для такої визначеної мети”. Це означає, що навіть якщо розпорядник даних надав згоду на релевантні та нерелевантні дані, згода буде обмежена лише релевантними даними, а фідуціар даних нестиме відповідальність за порушення зобов’язань щодо нерелевантних даних.
Ілюстрація:
Пані Х зареєструвалася як покупець на порталі електронної комерції. Портал електронної комерції попросив її номер мобільного телефону, адресу та список її телефонних контактів. Пані Х дає свою згоду на обидва варіанти. Однак список телефонних контактів не є обов’язковим для постачання її товарів/послуг. Таким чином, її згода буде обмежена номером мобільного телефону та адресою з метою отримання товарів/послуг з Порталу електронної комерції, хоча вона, можливо, дала явну згоду на надання списку контактів.
Таким чином, якщо фідуціар обробляє дані, на які не отримано згоду або які вважаються такими, що не були отримані відповідно до положень Закону, він несе відповідальність за порушення своїх зобов’язань.
Крім того, кожен запит, зроблений довіреною особою до розпорядника даних, повинен супроводжуватися або передувати повідомленню, що інформує про це розпорядника даних:
– Персональні дані та мета, з якою вони будуть оброблятися.
– Як розпорядник даних може відкликати згоду та подати скаргу на розгляд скарги.
– Як розпорядник даних може подати скаргу до Ради із захисту даних Індії.
Якщо згода містить щось, що порушує положення Закону або правила, встановлені відповідно до нього, згода є недійсною в межах такого порушення.
Ілюстрація:
Фізична особа X купує страховий поліс за допомогою мобільного додатку або веб-сайту страховика Y. Вона дає Y свою згоду на (i) обробку її персональних даних Y з метою видачі полісу, та (ii) відмова від права подати скаргу до Ради із захисту даних Індії. Частина (ii) згоди, що стосується відмови від її права на подання скарги, є недійсною.
Володільці даних також мають право відкликати згоду на обробку персональних даних, на які раніше було надано дійсну згоду. Після відкликання згоди фідуціар повинен буде видалити дані зі своєї бази даних і забезпечити, щоб вони більше не використовувалися для обробки.
- Певне законне використання персональних даних – Довірена особа може обробляти персональні дані довірителя для певних законних цілей, таких як
a. Коли суб’єкт персональних даних добровільно надав персональні дані і не висловив явної згоди на їх обробку.
b. Дані, запитувані державою для цілей будь-якого чинного законодавства.
c. Виконання судового рішення або постанови
d. Реагування на надзвичайну медичну ситуацію, пов’язану із загрозою життю або безпосередньою загрозою здоров’ю довірителя даних або будь-якої іншої фізичної особи
e. Вжиття заходів для надання медичної допомоги або медичних послуг
f. Вжиття заходів для забезпечення безпеки будь-якої особи під час стихійного лиха або порушення громадського порядку.
g. Для цілей працевлаштування або тих, що пов’язані із захистом роботодавця від збитків або відповідальності, таких як запобігання корпоративному шпигунству, підтримання конфіденційності комерційної таємниці, інтелектуальної власності, секретної інформації або надання будь-якої послуги чи вигоди, яку шукає Довірена особа, яка є працівником. - Загальні обов’язки розпорядника даних – Розпорядник даних має певні обов’язки, яких він повинен дотримуватися, щоб відповідати вимогам Закону:
a. Довірена особа даних несе відповідальність за дотримання положень Закону незалежно від того, що розпорядник даних не виконує обов’язки, передбачені Законом.
b. Довірена особа може залучати обробника даних лише на підставі чинного договору.
c. Забезпечити повноту, точність та узгодженість даних.
d. Впровадити відповідні технічні заходи для забезпечення ефективного дотримання положень Закону.
e. Має розумні гарантії безпеки для захисту персональних даних, які перебувають у його володінні або під його контролем, включаючи дані, які обробляються в його власній якості або обробником даних.
f. Повідомте Раду із захисту даних Індії у разі порушення персональних даних.
g. Зобов’язаний видалити та доручити обробнику даних видалити персональні дані про відкликання згоди суб’єктом персональних даних або зазначену мету, якщо вони більше не слугують цій меті. - Персональні дані дітей – Довірена особа повинна:
a. Отримайте згоду батьків/законних опікунів дитини, яку можна перевірити, перш ніж обробляти будь-які персональні дані.
b. Не здійснювати відстеження чи моніторинг поведінки дітей або цільової реклами, спрямованої на дітей.
Права та обов’язки розпорядника даних
Володільцю даних надаються різні права та привілеї відповідно до Закону з метою збереження конфіденційності його персональних цифрових даних. Вони також зобов’язані дотримуватися положень Закону.
- Права володільця даних:
a. Право на доступ до інформації про персональні дані: Довіритель даних має право на отримання звіту про персональні дані, які обробляються довіреною особою.
b. Суб’єкт персональних даних має право вносити зміни до своїх персональних даних або видаляти їх шляхом відкликання згоди відповідно до Закону.
c. У разі порушення з боку довіреної особи, довіритель даних матиме право подати скаргу до довіреної особи, а також до Ради з питань захисту даних Індії. - Обов’язки розпорядника даних:
a. Дотримуйтесь положень Закону.
b. Не видавати себе за іншу особу, надаючи персональні дані з певною метою.
c. Не приховувати суттєву інформацію під час надання персональних даних для будь-якого документа, унікального ідентифікатора, посвідчення особи або підтвердження адреси, виданого державою або будь-яким її органом.
d. Не реєструвати неправдиві або безпідставні скарги чи заяви
e. Надавати інформацію, яку можна перевірити та яка є достовірною.
Штрафи за порушення положень Закону
Закон містить суворі положення щодо дотримання вимог з боку фідуціарів даних. Закон також передбачає суворі покарання за порушення положень Закону. Розглянемо деякі з санкцій, передбачених Законом:
Старший. Ні. Штраф за порушення
1 Порушення зобов’язання Довіреної особи вживати розумних заходів безпеки для запобігання витоку персональних даних відповідно до підрозділу (5) розділу 8 може становити до 250 крон.
2 Порушення обов’язку повідомляти Правління або зачепленого Володільця даних про порушення персональних даних відповідно до підрозділу (6) розділу 8. Може сягати 200 рупій.
3 Порушення дотримання додаткових зобов’язань щодо дітей відповідно до розділу 9 може сягати 200 індійських рупій.
4 Порушення дотримання додаткових зобов’язань Довіреної особи щодо суттєвих даних відповідно до розділу 10. Може продовжуватися до 150 рупій.
5 Порушення будь-якого іншого положення цього Закону або правил, встановлених відповідно до нього. Може продовжуватися до 50 рупій.
Як бачите, штраф може становити від 50 до 250 рупій залежно від типу порушення. Це вимагає від усіх організацій, які підпадають під визначення фідуціарних розпорядників даних або обробників даних, вжити заходів для своєчасного дотримання вимог Закону та його правил. Очікується, що Уряд забезпечить перехідний період для впровадження заходів, необхідних для забезпечення відповідності.
Висновок
Організації повинні проактивно провести оцінку впливу на захист даних та скласти перелік заходів, які необхідно вжити. Вони можуть охоплювати такі сфери:
- Механізми узгодження дизайну.
- Вжити заходів з ІТ / ІБ та кібербезпеки.
- Призначити відповідних комплаєнс-офіцерів в організації.
- Розробляйте політики зберігання, архівування та очищення даних, а також інструменти для їх реалізації.
Громадяни також повинні ознайомитися з Законом і знати свої права та привілеї. Вони виклали величезні обсяги даних в Інтернеті на кількох порталах. Цей закон дає їм право контролювати, як їхні дані можуть бути використані та захищені.
Якщо ви хочете дізнатися більше про Закон про захист персональних даних в Індії, будь ласка, зв‘яжіться з нами.