BRICSPULSE
$1 = 71.01 $1 = 6.79 ¥$1 = 95.81
Back
in flagIndiaSoftwareAct of ParliamentActive

Digital Personal Data Protection Act, 2023

Aug 11, 2023
EnglishRussian

Краткое резюме

Закон о защите цифровых персональных данных 2023 года (DPDPA) является основополагающим законодательным актом Индии в области конфиденциальности данных, принятым 11 августа 2023 года как Закон No 22 от 2023 года. После многолетних обсуждений, включая отзыв более раннего законопроекта о защите персональных данных 2019 года, данный акт устанавливает комплексную правовую базу, регулирующую обработку цифровых персональных данных на территории Индии, а также экстерриториальную обработку данных, связанную с предложением товаров или услуг физическим лицам в Индии. Закон вводит ключевые понятия: «Фидуциарий данных» (Data Fiduciary), «Принципал данных» (Data Principal), «Менеджер согласия» (Consent Manager) и «Значимый фидуциарий данных» (Significant Data Fiduciary), а также учреждает Совет по защите данных Индии в качестве основного контролирующего органа. Штрафы, достигающие 250 крор рупий за одно нарушение с потолком в 500 крор рупий, подчёркивают серьёзность намерений государства в обеспечении баланса между правами граждан на защиту данных и потребностями стремительно цифровизирующейся экономики.

Ключевые положения

Система обработки на основе согласия. В основе DPDPA лежит требование о том, что персональные данные могут обрабатываться только при наличии свободного, конкретного, информированного, безусловного и недвусмысленного согласия Принципала данных либо при наличии перечисленных «законных оснований использования». Согласие должно быть получено путём чёткого утвердительного действия и ограничиваться данными, необходимыми для заявленной цели. Принципал данных вправе отозвать согласие в любое время с такой же лёгкостью, с какой оно было предоставлено.

Обязанности фидуциариев данных. Закон возлагает на фидуциариев данных структурированный набор обязательств: обеспечение точности и полноты данных, внедрение разумных мер безопасности, уведомление Совета и пострадавших лиц об утечках данных, а также удаление данных после достижения цели их обработки. Фидуциарии обязаны публиковать контактную информацию ответственного за защиту данных лица.

Уведомление и прозрачность. Каждый случай сбора персональных данных должен сопровождаться чётким уведомлением с описанием собираемых данных, цели обработки, порядка реализации прав Принципала данных и процедуры подачи жалоб. Уведомления должны быть доступны на английском языке и на любом языке из Восьмого приложения к Конституции.

Защита данных детей. DPDPA предусматривает усиленную защиту данных несовершеннолетних (лиц младше 18 лет). Фидуциарии обязаны получить поддающееся проверке согласие родителя перед обработкой данных ребёнка, не вправе осуществлять обработку, способную нанести вред благополучию ребёнка, и не могут проводить отслеживание, поведенческий мониторинг или таргетированную рекламу в отношении детей.

Режим значимого фидуциария данных. Центральное правительство вправе признать определённых фидуциариев «значимыми» на основании таких факторов, как объём и чувствительность данных. На такие организации возлагаются дополнительные обязательства: назначение ответственного за защиту данных лица с пребыванием в Индии, привлечение независимых аудиторов данных, проведение периодических оценок воздействия на защиту данных.

Трансграничная передача данных. Вместо модели «белого списка» или оценки адекватности DPDPA использует модель «чёрного списка»: Центральное правительство может ограничить передачу данных в конкретные страны или территории, при этом все прочие трансферы по умолчанию разрешены.

Права принципалов данных. Закон наделяет Принципалов данных правом получать сводки об обрабатываемых данных, узнавать личности третьих лиц, которым передавались данные, требовать исправления и удаления данных, получать рассмотрение жалоб в установленные сроки, а также назначать представителя для реализации своих прав в случае смерти или недееспособности.

Обязанности принципалов данных. Уникальной чертой DPDPA является возложение обязанностей на самих Принципалов данных, включая запрет на предоставление ложной информации, выдачу себя за другое лицо, сокрытие существенных сведений и подачу заведомо ложных жалоб. За нарушения Принципалам грозит штраф до 10 000 рупий.

Цели и сроки

DPDPA предусматривает поэтапное введение в действие. Хотя Закон получил одобрение Президента 11 августа 2023 года, различные положения могут вступать в силу в разные даты по уведомлению Центрального правительства. Ключевые этапы включают учреждение Совета по защите данных Индии, разработку правил управления согласием, процедур уведомления об утечках и критериев определения значимых фидуциариев данных. Закон не устанавливает единого срока соответствия, предоставляя правительству гибкость в поэтапном введении регулирования с учётом различной готовности отраслей.

Механизмы реализации

Совет по защите данных Индии. Основной контролирующий орган -- Совет по защите данных -- учреждается как юридическое лицо, функционирующее в формате цифрового офиса. Совет расследует жалобы, устанавливает факты несоблюдения закона, предписывает экстренные меры при утечках данных и назначает штрафы. Члены Совета назначаются Центральным правительством из числа экспертов в области защиты данных, информационных технологий, кибербезопасности, государственного управления и права.

Система менеджеров согласия. Закон вводит новый институт Менеджеров согласия -- зарегистрированных посредников, выступающих единой точкой контакта для Принципалов данных при предоставлении, управлении, проверке и отзыве согласия через доступные и интероперабельные платформы.

Апелляционный механизм. Обжалование решений Совета осуществляется в Трибунале по урегулированию телекоммуникационных споров и апелляциям (TDSAT). Апелляция должна быть подана в течение 60 дней с момента получения решения Совета.

Нормотворческие полномочия. Центральное правительство сохраняет широкие полномочия по изданию подзаконных актов, определяющих детальные процедуры получения согласия, уведомления об утечках, верификации данных детей, функционирования Совета и иные операционные вопросы.

Влияние на отрасль

DPDPA оказывает масштабное влияние на технологический и деловой ландшафт Индии. Индустрия IT-услуг, составляющая значительную долю индийского софтверного экспорта, вынуждена перестраивать процессы обработки данных для обеспечения соответствия требованиям согласия и внедрения надёжных систем уведомления об утечках. Особая нагрузка по соблюдению требований ложится на SaaS-провайдеров, финтех-компании, платформы электронной коммерции и стартапы в сфере медицинских технологий.

Модель Менеджера согласия создаёт новую рыночную вертикаль, стимулируя разработку платформ управления согласием и связанного корпоративного программного обеспечения. Режим трансграничной передачи данных, более либеральный по сравнению с моделью адекватности GDPR, позиционирует Индию как относительно открытую юрисдикцию для международных потоков данных, что благоприятно для модели глобальной поставки услуг индийского IT-сектора.

Вместе с тем широкие исключения для государства при обработке персональных данных по основаниям суверенитета, безопасности и общественного порядка подвергаются критике со стороны правозащитных организаций, считающих, что данные изъятия подрывают защитные цели Закона. Положение об освобождении стартапов, призванное снизить регуляторную нагрузку на молодые компании, порождает вопросы о пороговых критериях и объёме льгот.

История изменений

DPDPA 2023 стал результатом длительного законодательного процесса. Комитет судьи Б.Н. Шрикришны представил доклад и проект Закона о защите персональных данных в 2018 году. Законопроект о защите персональных данных 2019 года был внесён в Парламент в декабре 2019 года и направлен в Объединённый парламентский комитет, который представил доклад в 2021 году с многочисленными рекомендуемыми поправками. Законопроект 2019 года был отозван в августе 2022 года, а новый проект Закона о защите цифровых персональных данных был опубликован для общественного обсуждения в ноябре 2022 года. Итоговый Закон, существенно упрощённый по сравнению с предшественниками, был принят Парламентом и получил одобрение Президента 11 августа 2023 года. DPDPA внёс поправки в Закон об информационных технологиях 2000 года (отмена раздела 43A о компенсации за нарушение защиты данных) и Закон о праве на информацию 2005 года (усиление защиты персональных данных в рамках раздела 8).

Связанные документы

  • Закон об информационных технологиях 2000 года -- основополагающий нормативный акт в области кибер-права Индии; раздел 43A (ныне отменённый DPDPA) ранее регулировал компенсацию за нарушения защиты данных.
  • Правила об информационных технологиях (разумные практики безопасности и чувствительные персональные данные) 2011 года -- правила, действовавшие до DPDPA в отношении чувствительных персональных данных, частично заменённые новым законом.
  • Закон о праве на информацию 2005 года -- изменён разделом 41(2) DPDPA для усиления исключений в отношении персональных данных.
  • Директивы CERT-In 2022 года -- дополнительные требования по отчётности об инцидентах кибербезопасности, пересекающиеся с обязательствами DPDPA по уведомлению об утечках.
  • Доклад Комитета судьи Б.Н. Шрикришны (2018) -- фундаментальный доклад, определивший архитектуру индийского законодательства о защите данных.
  • Общий регламент ЕС по защите данных (GDPR) -- международный эталон, часто сопоставляемый с подходами DPDPA к согласию, правам субъектов данных и трансграничным передачам.