• Startseite
  • Artikel
  • Technik
  • „Der Dialog“ von Inc42 & Ikigai Law: PDP Bill markiert eine klare Trennung zwischen den Denkweisen von politischen Entscheidungsträgern und Startups

„Der Dialog“ von Inc42 & Ikigai Law: PDP Bill markiert eine klare Trennung zwischen den Denkweisen von politischen Entscheidungsträgern und Startups

Veröffentlicht: 2018-09-09

„The Dialogue“ erörterte das PDP-Gesetz im Detail, einschließlich Änderungen, die Startups bei der Datenerfassung und -verarbeitung vornehmen müssen

Es wurde auch erörtert, wie sich das Datenlokalisierungsmandat des Gesetzentwurfs auf die Kosteneffizienz und den Betrieb von Startups auswirken wird

Es wurde diskutiert, wie Start-ups die Kosten unter Kontrolle halten und gleichzeitig die Pflicht erfüllen können, die Zustimmung der Benutzer einzuholen und ihre persönlichen Daten zu klassifizieren

Während das Ministerium für Elektronik und Informationstechnologie ( MeitY ) öffentliche Kommentare zum Gesetzentwurf zum Schutz personenbezogener Daten, 2018, (PDP Bill) bis spätestens 30. organisierte eine interaktive Sitzung am runden Tisch mit Start-ups, um die Auswirkungen des Gesetzentwurfs auf ihre Unternehmen zu diskutieren, sobald er im Parlament verabschiedet wird.

Moderiert von Vaibhav Agrawal, Gründer und CEO von Inc42, Anirudh Rastogi, Gründer von Ikigai Law, und Nehaa Chaudhari, Policy Lead bei Ikigai Law, befasste sich „The Dialogue“ mit den Kernpunkten des PDP-Gesetzes – Datenlokalisierung, Datenkritikalität, Zustimmungserklärungen an Benutzer und Einwilligungsanforderungen unter anderem. An dem Roundtable nur auf Einladung nahmen Startup-Gründer teil, die eine Vielzahl von Herausforderungen zur Sprache brachten, die im bestehenden Gesetzesentwurf nicht angesprochen oder beantwortet wurden.

Gesetzentwurf zum Schutz personenbezogener Daten: Kernpunkte

Datensammlung

Ob offline oder online, die Datenerfassungspraktiken von Startups müssen sich ändern, sobald das Gesetz in Kraft tritt. Der Gesetzentwurf verpflichtet Datentreuhänder (Einheiten, die die Daten sammeln oder verarbeiten), Mitteilungen an ihre Benutzer über die Daten herauszugeben, die sie sammeln möchten, den Zweck der Sammlung, ob die Daten an Dritte oder ins Ausland übertragen werden, wie es sein wird gespeichert, wie lange sie aufbewahrt werden und so weiter.

Der Entwurf macht damit die Erhebung personenbezogener Daten befristet und kündigungs- und zustimmungspflichtig. Dementsprechend müssen Startups bestehende Benutzer über ihre Datenerhebungs- und Verwendungspraktiken informieren und eine neue Benutzereinwilligung einholen. Startups am Runden Tisch äußerten Bedenken, dass ein großer Teil ihrer Nutzerbasis ihre Zustimmung nicht erneut und in der erforderlichen Weise erteilen könnte, was zu Störungen in ihrem Geschäft führen könnte. „Dieses Problem wird in Indien verstärkt, da der durchschnittliche indische Benutzer nicht sehr technisch versiert ist und möglicherweise keine granulare Einwilligung erteilt“, sagte Vivek Jain, CEO von InteractiveMedia, das interaktive Plattformen für Management-, Rechts- und Finanzfachleute anbietet.

Der Gesetzentwurf gilt in erster Linie für „personenbezogene Daten“, also Daten, die zur Identifizierung einer Person verwendet werden können. Personenbezogene Daten sind jedoch nicht auf Name, Adresse usw. beschränkt. Es können beliebige Daten sein, die mit anderen Daten – sogar öffentlich zugänglichen Informationen – kombiniert werden können, um die Person irgendwie zu identifizieren. Wenn beispielsweise ein Taxiunternehmen weiß, dass jemand täglich in ein bestimmtes Café geht, könnte der Datensatz verwendet werden, um eine eindeutige Person zu identifizieren, und stellt personenbezogene Daten dar, erklärte Anirudh Rastogi von Ikigai Law.

Während einige der teilnehmenden Startups der Meinung waren, dass diese Klausel zu personenbezogenen Daten eine der größten Hürden für sie sein könnte, waren einige der Ansicht, dass der Entwurf des indischen PDP-Gesetzes das „Recht auf Unternehmen“ nicht wie die Datenschutz-Grundverordnung (DSGVO) priorisiert ) getan hat.

Datenlokalisierung

Für jeden Datentreuhänder, der direkt oder indirekt an der Datenerhebung oder -verarbeitung von Daten indischer Datenverantwortlicher beteiligt ist, macht es der Entwurf des PDP-Gesetzes erforderlich, mindestens eine Kopie der Daten auf einem Server oder Rechenzentrum in Indien zu speichern. Darüber hinaus werden bestimmte Daten wie „kritische“ Daten, die von der Regierung in Zusammenarbeit mit der vorgeschlagenen Datenschutzbehörde (DPA) definiert werden, nur auf in Indien ansässigen Servern gespeichert.

Daher erfordert das Datenlokalisierungsmandat, dass die Datentreuhänder ihre Server auch in Indien einrichten. Beim Roundtable wiesen Startup-Gründer jedoch darauf hin, dass die Entscheidung für einen Datenserver in Indien teurer ist als Datenserver in den USA und Singapur; Das Mandat schränke auch die Wahlmöglichkeiten von Startups ein, erzeuge einen höheren Verwaltungsaufwand und sei aus Sicht der Datensicherheit nachteilig, argumentierten sie. Andere sagten, dass verschiedene Cloud-basierte Dienste heute nicht auf indischen Servern verfügbar sind und nicht unbedingt lokalisiert werden, da der indische Markt für viele solcher Dienste im Vergleich zum globalen Markt winzig ist.

Für dich empfohlen:

Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird
Ressourcen

Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird

Unternehmer können durch „Jugaad“ keine nachhaltigen, skalierbaren Startups schaffen: CEO von CitiusTech
Nachrichten

Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...

Wie Metaverse die indische Automobilindustrie verändern wird
Ressourcen

Wie Metaverse die indische Automobilindustrie verändern wird

Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?
Ressourcen

Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?

Wie Edtech-Startups dabei helfen, die Mitarbeiter weiterzubilden und zukunftsfähig zu machen
Ressourcen

Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...

Nachrichten

New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...

Daher werden Vorschriften wie Datenlokalisierung, Einwilligungserklärung, Unterhaltungsrecht des Benutzers auf Zugang und das Recht auf Vergessenwerden nicht nur die Kosten von Start-ups erhöhen und ihre Gewinnspanne verringern, sondern auch ihren Betrieb, ihre Effizienz und ihre globale Wettbewerbsfähigkeit beeinträchtigen.

Die Teilnehmer betonten auch, dass Startups nicht nur die PDP Bill einhalten müssen. Sie müssen mehrere datenbezogene Gesetze einhalten, die sowohl sektorale als auch länderspezifische Datenschutzgesetze sein können, und dies wird ihre Belastung erhöhen.

Viele waren der Ansicht, dass die Datenlokalisierungsbestimmung in den Gesetzesentwurf aufgenommen wurde, weil eine besonders starke Lobby das Thema unterstützt. Die vorgeschriebenen hohen Strafen von bis zu Rs 15 Cr und die strafrechtliche Haftung würden die Geschäfte von Startups insgesamt behindern, fügten sie hinzu.

Sensible personenbezogene Daten

Der Entwurf des PDP-Gesetzes beruft sich auch auf das Konzept der sensiblen personenbezogenen Daten (SPD). Zu den sensiblen personenbezogenen Daten gehören Informationen wie Gesundheitsdaten, amtliche Kennzeichen (Aadhaar-Ausweis, Führerschein usw.), biometrische Daten, religiöse oder politische Überzeugungen und kastenbezogene Daten.

Es besteht jedoch keine Klarheit darüber, ob „kritische Daten“ eine Teilmenge von SPD sind oder nicht. Die Definition von „kritischen Daten“ muss noch von der Regierung umrissen werden.

Einholung der Zustimmung des Datenverantwortlichen

Im Einklang mit der DSGVO hat auch das PDP-Gesetz klar definiert, dass Informationen im Zusammenhang mit der Einholung einer Einwilligung frei, umfassend, eindeutig und durch positive Maßnahmen angezeigt sein müssen. Es ist nicht ratsam, dass Unternehmen den Benutzern am Anfang der Datenschutzrichtlinie vorab angekreuzte „Ich stimme zu“-Kästchen anbieten, sondern Benutzer sollten aktiv das Kästchen ankreuzen, das nur am Ende der Datenschutzrichtlinie erscheint, um festzustellen, dass sie dies getan haben zumindest die Richtlinie nach unten gescrollt, um sie tatsächlich zu lesen. In einem solchen Fall wird es für Produktteams wichtig sein, eng mit Anwälten zusammenzuarbeiten, um ein Gleichgewicht zwischen guten Datenerfassungspraktiken und Benutzererfahrung zu finden, erklärte Rastogi.

Neben der Zustimmung hat der Gesetzesentwurf den Datenprinzipalen auch bestimmte Rechte eingeräumt, die Datentreuhänder innerhalb eines bestimmten Zeitraums einhalten müssen. Dazu gehören das Recht auf Auskunft, das Recht auf Vergessenwerden etc.

PDP Bill: Herausforderungen vor uns

Die Rundtischkonferenz listete eine Reihe von Herausforderungen auf, die mehrdeutig und unbeantwortet bleiben und angegangen werden müssen, bevor der Gesetzentwurf im Parlament eingebracht wird. Einige der berücksichtigten Herausforderungen sind:

  • In Indien wird immer noch eine beträchtliche Datenmenge offline verarbeitet, aber das PDP-Gesetz erwähnt nicht die Art der Zustimmung zur Offline-Datenerfassung. Wie sollen Datentreuhänder bei der Erhebung ihrer Daten die Einwilligungserklärung an Datenauftraggeber übermitteln?
  • Die im Gesetzentwurf festgelegten Standards sind lose oder gar nicht definiert.
  • Das Sammeln von Daten für sich wiederholende Transaktionen oder die Verwendung neuer Technologien wie IoT-Geräte oder Gesichtserkennung wird schwieriger umzusetzen sein, erklärte Nehaa Chaudhari von Ikigai Law.
  • Der grenzüberschreitende Datenaustausch für Forschungszwecke in Bereichen wie Arzneimittelwirksamkeit usw. wird von der Gesetzesvorlage betroffen sein.
  • Der Compliance-Aufwand wird für Unternehmen deutlich in die Höhe schießen und insbesondere Startups belasten.
  • Die Compliance für Startups, die Dienstleistungen weltweit anbieten möchten, wird noch problematischer, da sie unterschiedliche Standards einhalten müssen, die in unterschiedlichen Gesetzen vorgeschrieben sind.
  • Die Teilnehmer wiesen auch darauf hin, dass die Mobiltelefone der Menschen die persönlichen Daten ihrer Kontakte enthalten und verloren gehen können; Menschen tauschen oft Visitenkarten aus, ohne den Zweck ausdrücklich zu erwähnen. Sie fragten, wie sich das Gesetz auf solche Szenarien in der Zukunft auswirken würde. Was passiert, wenn jemand sein Handy verliert? Ist er/sie nach dem aktuellen Gesetzentwurf gerichtlich haftbar?

Der Entwurf des PDP-Gesetzes legt auch fest, dass Unternehmen nur bestimmte Daten im Zusammenhang mit bestimmten, von der Datenschutzbehörde festgelegten Zwecken sammeln dürfen. Für Startups könnte dies ein großes Hindernis sein. Beispielsweise werden eine Reihe von Pilotprojekten durchgeführt, bei denen der Zweck der Datenerhebung agnostischer Natur bleibt. Der aktuelle Gesetzentwurf bringt für solche Fälle keine Klarheit. Die Teilnehmer fügten hinzu, dass ein Inkrafttreten des Gesetzentwurfs in seiner jetzigen Form die disruptiven technologischen Fortschritte negativ beeinflussen würde, die normalerweise durch Pilotprojekte von Start-ups erreicht werden.

PDP Bill: Der Dialog muss weitergehen

„The Dialogue“ von Inc42 und Ikigai Law erlebte eine hitzige, aufschlussreiche Diskussion mit aktiver Beteiligung aller Teilnehmer. Im Wesentlichen verdeutlichte das Gespräch eine klare Kluft zwischen der Denkweise von politischen Entscheidungsträgern und technologiegetriebenen Startups . Diese Lücke muss geschlossen werden, um die Dynamik des indischen Startup-Ökosystems aufrechtzuerhalten. Der Dialog muss weitergehen.

Das MeitY ist offen für Kommentare und Feedback zum Entwurf des PDP-Gesetzes bis zum 30. September 2018. Vergessen Sie nicht, sich Gehör zu verschaffen, bevor es zu spät ist und es schwieriger wird, die Fehler zu beheben!

Update 1: 9. September 2018, 21.46 Uhr

Das Datum für die Einreichung von Rückmeldungen zum Entwurf des indischen Gesetzentwurfs zum Schutz personenbezogener Daten, 2018, wurde bis zum 30. September 2018 verlängert.