„Dialog” autorstwa Inc42 i Ikigai Law: PDP Bill wyznacza wyraźny podział między nastawieniem polityków i startupów

Podczas gdy Ministerstwo Elektroniki i Technologii Informacyjnych (MeitY) zaprosiło publiczne komentarze do projektu ustawy o ochronie danych osobowych z 2018 r. (Ustawa PDP) najpóźniej do 30 września, Inc42, we współpracy z ustawą Ikigai (dawniej TRA) , 7 września, zorganizowała interaktywną sesję okrągłego stołu ze start-upami, aby omówić wpływ ustawy na ich firmy po jej uchwaleniu w parlamencie.

Moderowany przez Vaibhav Agrawal, założyciel i dyrektor generalny Inc42, Anirudh Rastogi, założyciel Ikigai Law i Nehaa Chaudhari, kierownik ds. polityki w Ikigai Law, „Dialog” dotyczył kluczowych punktów ustawy PDP – lokalizacji danych, krytyczności danych, powiadomień o zgodach do użytkowników i wymagania dotyczące zgody między innymi. W okrągłym stole, na który można było tylko zaprosić, wzięli udział założyciele startupów, którzy poruszyli szereg wyzwań, na które nie uwzględniono ani nie odpowiedziano w istniejącym projekcie ustawy.

Ustawa o ochronie danych osobowych: kluczowe punkty

Zbieranie danych

Czy to offline, czy online, praktyki zbierania danych przez startupy będą musiały ulec zmianie po uchwaleniu ustawy. Ustawa nakazuje powiernikom danych (podmiotom gromadzącym lub przetwarzającym dane) zawiadamianie swoich użytkowników o danych, które chcą zebrać, celu zbierania, czy dane będą przekazywane osobom trzecim lub poza granice kraju, w jaki sposób będą przechowywane, jak długo będą przechowywane i tak dalej.

Projekt ogranicza zatem zbieranie danych osobowych oraz wymaga wypowiedzenia i uzgodnienia. W związku z tym startupy będą musiały powiadomić istniejących użytkowników o swoich praktykach gromadzenia i wykorzystywania danych oraz uzyskać nową zgodę użytkownika. Startupy przy okrągłym stole wyraziły obawy, że duża część ich bazy użytkowników może nie wyrazić zgody ponownie i w wymagany sposób, co prowadzi do zakłóceń w ich działalności. „Ten problem jest spotęgowany w Indiach, biorąc pod uwagę, że przeciętny indyjski użytkownik nie jest zbyt obeznany z technologią i może nie udzielać szczegółowej zgody” – powiedział Vivek Jain, dyrektor generalny InteractiveMedia, która zapewnia interaktywne platformy dla specjalistów ds. zarządzania, prawa i finansów.

Ustawa dotyczy przede wszystkim „danych osobowych”, czyli danych, które można wykorzystać do identyfikacji osoby. Jednak dane osobowe nie ograniczają się do imienia i nazwiska, adresu itp. Mogą to być dowolne dane, które można połączyć z innymi danymi — nawet informacjami dostępnymi publicznie — w celu identyfikacji osoby. Na przykład, jeśli firma taksówkarska wie, że ktoś codziennie chodzi do określonej kawiarni, zestaw danych może zostać wykorzystany do zidentyfikowania unikalnej osoby i będzie stanowić dane osobowe, wyjaśnił Anirudh Rastogi z Ikigai Law.

Podczas gdy niektóre z uczestniczących startupów uważały, że ta klauzula dotycząca danych osobowych może być dla nich jedną z głównych przeszkód, niektórzy byli zdania, że ​​projekt indyjskiej ustawy PDP nie traktuje priorytetowo „Prawa do prowadzenia działalności”, jak w przypadku ogólnego rozporządzenia o ochronie danych (RODO). ) zrobił.

Lokalizacja danych

W przypadku każdego powiernika danych bezpośrednio lub pośrednio zaangażowanego w zbieranie danych lub przetwarzanie danych należących do indyjskich podmiotów zarządzających danymi, projekt ustawy PDP wymaga przechowywania co najmniej kopii danych na serwerze lub centrum danych zlokalizowanym w Indiach. Ponadto niektóre dane, takie jak dane „krytyczne”, które zostaną zdefiniowane przez rząd w połączeniu z proponowanym organem ochrony danych (DPA), będą przechowywane tylko na serwerach w Indiach.

W związku z tym mandat dotyczący lokalizacji danych wymaga, aby powiernicy danych skonfigurowali swoje serwery również w Indiach. Jednak podczas okrągłego stołu założyciele startupów wskazali, że wybór serwera danych w Indiach jest droższy niż posiadanie serwerów danych w USA i Singapurze; Mandat ten ogranicza również wybór startupów, nakłada większe obciążenie administracyjne i jest szkodliwy z punktu widzenia bezpieczeństwa danych, argumentowali. Inni stwierdzili, że różne usługi oparte na chmurze nie są obecnie dostępne na indyjskich serwerach i niekoniecznie będą zlokalizowane, ponieważ indyjski rynek wielu takich usług jest niewielki w porównaniu z rynkiem globalnym.

Polecany dla Ciebie:

Zasoby

Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach

Amit Das

31 lipca 2022

Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jaspreet K.

31 lipca 2022

Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Vaibhav S.

31 lipca 2022

Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

Charanya L.

31 lipca 2022

Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Ankusz S.

31 lipca 2022

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

Tapanjana R.

31 lipca 2022

Dlatego nakazy, takie jak lokalizacja danych, powiadomienie o zgodzie, korzystanie z prawa dostępu użytkowników i prawa do bycia zapomnianym, nie tylko zwiększą koszty startupów i zmniejszą ich marżę zysku, ale będą miały negatywny wpływ na ich działalność, wydajność i globalną konkurencyjność.

Uczestnicy podkreślali również, że startupy muszą przestrzegać nie tylko ustawy PDP. Muszą przestrzegać wielu przepisów dotyczących danych, które mogą mieć charakter sektorowy, a także przepisy dotyczące ochrony danych w poszczególnych krajach, co zwiększy ich obciążenie.

Wielu uważało, że zapis dotyczący lokalizacji danych został włączony do projektu ustawy ze względu na szczególnie silne lobby popierające tę kwestię. Dodali, że przewidziane wysokie kary w wysokości do Rs 15 Cr i odpowiedzialność karna utrudniłyby działalność startupów jako całości.

Wrażliwe dane osobowe

Projekt ustawy PDP odwołuje się również do koncepcji Wrażliwych Danych Osobowych (SPD). Wrażliwe dane osobowe obejmują takie informacje, jak dane dotyczące zdrowia, oficjalne identyfikatory (identyfikator Aadhaar, prawo jazdy itp.), dane biometryczne, przekonania religijne lub polityczne oraz dane dotyczące kast.

Jednak nie ma jasności co do tego, czy „dane krytyczne” są podzbiorem SPD, czy nie. Rząd nie określił jeszcze definicji „danych krytycznych”.

Przyjmowanie zgody zleceniodawców danych

Zgodnie z RODO również Ustawa PDP jasno określiła, że ​​informacje związane z ubieganiem się o zgodę muszą być swobodne, wyczerpujące, jednoznaczne i wskazane poprzez akcję afirmatywną. Nie jest wskazane, aby firmy oferowały użytkownikom wstępnie zaznaczone pola „Zgadzam się” na początku polityki prywatności, ale raczej użytkownicy powinni aktywnie zaznaczać pole pojawiające się tylko na końcu polityki prywatności, aby ustalić, że mają przynajmniej przewinąłem politykę w dół, aby ją przeczytać. W takim przypadku ważne będzie, aby zespoły produktowe ściśle współpracowały z prawnikami, aby znaleźć równowagę między dobrymi praktykami gromadzenia danych a doświadczeniem użytkowników, wyjaśnił Rastogi.

Oprócz zgody projekt ustawy przyznał również pewne prawa podmiotom odpowiedzialnym za przetwarzanie danych, z którymi powiernicy danych będą zobowiązani korzystać w określonym przedziale czasowym. Należą do nich prawo dostępu, prawo do bycia zapomnianym itp.

PDP Bill: Wyzwania przed nami

Na konferencji okrągłego stołu wymieniono szereg wyzwań, które pozostają niejednoznaczne, pozostają bez odpowiedzi i muszą zostać rozwiązane przed wprowadzeniem projektu ustawy w parlamencie. Niektóre z uwzględnionych wyzwań to:

• W Indiach znaczna ilość danych jest nadal przetwarzana w trybie offline, ale ustawa PDP nie wspomina o sposobie wyrażania zgody przy zbieraniu danych w trybie offline. W jaki sposób powiernicy danych mają wysyłać zawiadomienie o wyrażeniu zgody do administratorów danych podczas zbierania ich danych?
• Standardy określone w projekcie ustawy są luźno zdefiniowane lub w ogóle nie są zdefiniowane.
• Zbieranie danych w przypadku powtarzających się transakcji lub korzystanie z nowych technologii, takich jak urządzenia IoT czy rozpoznawanie twarzy, stanie się trudniejsze do wdrożenia, wyjaśnił Nehaa Chaudhari z Ikigai Law.
• Projekt ustawy wpłynie na transgraniczną wymianę danych na potrzeby badań w dziedzinach takich jak skuteczność leków itp.
• Koszty zgodności znacznie wzrosną dla firm, a szczególnie obciążą start-upy.
• Compliance dla startupów aspirujących do oferowania usług na całym świecie będzie jeszcze bardziej problematyczne, ponieważ będą musiały przestrzegać różnych standardów określonych w różnych przepisach.
• Uczestnicy zwrócili również uwagę, że telefony komórkowe ludzi zawierają dane osobowe ich kontaktów i mogą się zgubić; ludzie często wymieniają się wizytówkami, nie wspominając konkretnie o celu. Zastanawiali się, jak ustawa wpłynie na takie scenariusze w przyszłości? Co się stanie, jeśli ktoś zgubi swój telefon komórkowy? Czy podlega on/ona postępowaniu sądowemu na podstawie aktualnego projektu ustawy?

Projekt ustawy PDP wskazuje również, że firmy mogą gromadzić tylko określone dane związane z określonymi celami określonymi przez Urząd Ochrony Danych. Dla startupów może to być poważna przeszkoda. Na przykład przeprowadza się szereg projektów pilotażowych, w których cel gromadzenia danych ma charakter agnostyczny. Obecny projekt ustawy nie zawiera żadnej jasności w takich przypadkach. Uczestnicy dodali, że jeśli ustawa zostanie uchwalona w obecnej formie, wpłynie to negatywnie na przełomowe postępy technologiczne, które zwykle są osiągane dzięki projektom pilotażowym prowadzonym przez startupy.

PDP Bill: Dialog musi trwać

W „Dialogu” Inc42 i Ikigai Law odbyła się gorąca, wnikliwa dyskusja z aktywnym udziałem wszystkich uczestników. Zasadniczo rozmowa wykazała wyraźną lukę między mentalnością decydentów politycznych a start-upami zorientowanymi na technologię . Ta luka musi zostać wypełniona, aby utrzymać dynamikę indyjskiego ekosystemu startupów. Dialog musi trwać.

MeitY jest otwarte na komentarze, opinie na temat projektu ustawy PDP do 30 września 2018 r. Nie zapomnij dać głosu, zanim będzie za późno i trudniej będzie naprawić błędy!

Aktualizacja 1: 9 września 2018, 21.46

Termin składania opinii na temat projektu indyjskiej ustawy o ochronie danych osobowych z 2018 r. został przedłużony do 30 września 2018 r.