Der Dialog – Vorbereitung indischer Startups auf das Gesetz zum Schutz personenbezogener Daten

Anfang April dieses Jahres veröffentlichte die Reserve Bank of India (RBI) ein Rundschreiben, das alle Betreiber von Zahlungssystemen im Land anweist, ihre Daten ausschließlich in Indien zu speichern. Da die Frist für die Einhaltung der RBI-Richtlinie am ^15. Oktober näher rückt, ist klar, dass indische Unternehmen ihre Datenerfassungs- und -verarbeitungspraktiken bald überarbeiten müssen. Mit der Veröffentlichung des Personal Data Protection Bill, 2018 (Bill) im August, ist es für die Interessengruppen nun wichtig geworden, die Änderungen, die sie in Kraft setzen müssen, frühzeitig zu antizipieren. Insbesondere Startups werden von diesen Änderungen stark betroffen sein, da die Einhaltung der neuen Datenschutzanforderungen erhebliche Investitionen an Zeit und Geld erfordern wird.

Um Startups auf das neue Datenschutzregime vorzubereiten, hatte Ikigai Law in Zusammenarbeit mit Inc42 The Dialogue organisiert – eine interaktive Roundtable-Sitzung, um die Auswirkungen des Gesetzes zum Schutz personenbezogener Daten mit Startups zu diskutieren. Die Diskussion unter der Leitung von Anirudh Rastogi, Gründer von Ikigai Law; Nehaa Chaudhari, Policy Lead, Ikigai Law, und Vaibhav Agrawal, Gründer und CEO, Inc42, konzentrierten sich auf Schlüsselfragen im Rahmen des Gesetzentwurfs, einschließlich der neuen Mitteilungs- und Zustimmungsanforderungen; Umgang mit sensiblen personenbezogenen Daten; Zweck und Sammlungsbeschränkung; und Datenlokalisierung.

Hinweis- und Zustimmungserfordernisse: Worauf Sie achten sollten

Bei der Erörterung der neuen Benachrichtigungs- und Einwilligungspraktiken, die gemäß dem Gesetz zum Schutz personenbezogener Daten erforderlich sind, betonte Anirudh in The Dialogue, dass frühere Datenschutzrichtlinien ziemlich leicht genommen wurden. Die neuen Benachrichtigungsanforderungen gemäß dem Gesetz zum Schutz personenbezogener Daten sind jedoch sehr spezifisch. Auch in Umgangssprachen müssen dem Benutzer Informationen einfach und umfassend vermittelt werden . Für Startups, die mit dem Internet der Dinge („IoT“) zu tun haben, benötigen Geräte Bildschirme, um Benachrichtigungen anzuzeigen, oder es muss eine E-Mail in Echtzeit gesendet werden. Dies könnte bei einigen Geräten die Benutzererfahrung beeinträchtigen und während der Produktentwicklung zu einem Hin und Her zwischen den Rechts- und UX/UI-Teams von Unternehmen führen.

Ein Teilnehmer äußerte seine Besorgnis über die Einwilligungsanforderungen und erklärte, wie die Gesichtserkennung zu Herausforderungen führen könnte. Bei Technologien, die Gesichtserkennung verwenden, um das Management und die Anwesenheit einer Gruppe zu verfolgen, sind die Regeln für die Zustimmung unscharf. Während es einfach ist, eine Zustimmung auf individueller Basis einzuholen, ist das Erfassen von Hunderten von Gesichtern in einer Menschenmenge ein ganz anderes Ballspiel. Die Einholung der Zustimmung dafür scheint zum jetzigen Zeitpunkt nahezu unmöglich.

Anirudh antwortete mit dem Vorschlag, dass sie sich vielleicht auf den Grund des „angemessenen Zwecks“ des Gesetzes zum Schutz personenbezogener Daten berufen könnten, warnte jedoch davor, dass dies ein ziemlich hoher Standard wäre, da nur die Datenschutzbehörde befugt sei, aufzulisten, was zählt als angemessener Zweck, und Unternehmen können nicht frei definieren, was angemessene Zwecke für sie selbst sind. Ein Zuhörer antwortete auf diese Beobachtung mit den Worten: „Es ist sehr wichtig, die Befolgungskosten zu berücksichtigen. Ich befürchte, dass die Standards in diesem Gesetzentwurf locker definiert sind. Wie legt ein Unternehmen mit einem Jahresumsatz von einer Million Dollar das Geld für Compliance beiseite? Wie setzen Sie diese Kosten im Unternehmen um?“

Sensible personenbezogene Daten: Erfüllung eines höheren Standards

Die Verarbeitung von Daten, die gemäß dem Gesetz zum Schutz personenbezogener Daten als „sensible personenbezogene Daten“ (SPD) gelten, unterliegt einer höheren Zustimmungsschwelle als personenbezogene Daten. Alle Passwörter, Finanzdaten, Gesundheitsdaten, amtlichen Identifikatoren, biometrische Daten, genetische Daten, Daten, die auf religiöse oder politische Überzeugungen, sexuelle Orientierung oder Kasten-/Stammeszugehörigkeit hinweisen, gelten gemäß dem Gesetz zum Schutz personenbezogener Daten als SPD.

Für dich empfohlen:

Nachrichten

Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...

Jaspreet K.

31. Juli 2022

Ressourcen

Wie Metaverse die indische Automobilindustrie verändern wird

Vaibhav S.

31. Juli 2022

Ressourcen

Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?

Charanya L.

31. Juli 2022

Ressourcen

Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...

Ankush S.

31. Juli 2022

Nachrichten

New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...

Tapanjana R.

31. Juli 2022

Merkmale

Indische Startups nehmen Abkürzungen bei der Jagd nach Finanzierung

Nikhil S.

31. Juli 2022

Unternehmen, die diese Daten erheben oder verwenden, müssen die ausdrückliche Zustimmung ihrer Nutzer einholen, um diese Daten zu verarbeiten – was bedeutet, dass sie die Nutzer über die Folgen der Verarbeitung ihrer Daten zusätzlich zu den regulären Hinweis- und Zustimmungspflichten informieren müssen.

Anirudh erklärte, dass dies unpraktische Auswirkungen haben könnte – wenn Benutzer auf Social-Media-Plattformen Informationen veröffentlichen, die ihre Sexualität, religiösen Überzeugungen oder politischen Überzeugungen offenbaren, wird dies als SPD betrachtet, und es muss eine ausdrückliche Zustimmung zur Verwendung dieser Informationen eingeholt werden. Sogar frei verfügbare Informationen wie Nachnamen, die die Kaste offenbaren, werden im Rahmen dieses Gesetzentwurfs als SPD gekennzeichnet.

Zweck- und Erfassungsbeschränkung: Beschränkungen, wie Startups Daten monetarisieren können

Sobald das Gesetz zum Schutz personenbezogener Daten als Gesetz in Kraft getreten ist, können Start-ups personenbezogene Daten nur noch für Zwecke erheben, die eindeutig, spezifisch und rechtmäßig sind und im Voraus mitgeteilt werden. Sie dürfen nur die Daten erheben, die für die Verarbeitung erforderlich sind. Nehaa erläuterte die Auswirkungen dieser Anforderung und kommentierte: „Die Einwilligung muss zweckgebunden sein. Sie können die Daten nicht für eine andere Verwendung wiederverwenden, ohne den Benutzer über diese Änderung zu informieren.“ Anirudh stimmte zu und wies darauf hin, dass dies besonders für Pilotprojekte relevant sein könnte, die Daten ohne bestimmten Zweck sammeln, in der Hoffnung, diese Daten irgendwann zu Geld zu machen.

Unter dem neuen Datenschutzregime müssen Start-ups die Verbraucher im Voraus über die Anwendungsfälle und Zwecke der Datenerhebung informieren, bevor sie Daten verarbeiten, um sicherzustellen, dass die von ihnen eingeholte Zustimmung der Benutzer gültig ist.

Datenlokalisierung: Mögliche Auswirkungen

Auf die Frage, wie viele Unternehmen Daten in der Cloud speichern, antworteten fast alle Anwesenden mit Ja. Viele Teilnehmer setzten auf globale Cloud-Computing-Plattformen wie Google Cloud, Microsoft Azure und AWS von Amazon. Sie erklärten, dass ihre Wahl der Cloud-Plattform von der Reaktionsfähigkeit des Dienstes, der Latenzzeit des Cloud-Dienstes, der Verfügbarkeit von Notfallwiederherstellungszentren und der Gesamteffizienz bestimmt wurde. Mit diesen Diensten können Startups die Kosten erheblich senken, da sie nicht in große Mengen an Hardware investieren müssen, um ihre Daten zu speichern.

Der freie Zugang zu globalen Cloud-Computing-Plattformen, den indische Startups derzeit genießen, kann durch die Datenlokalisierungsanforderungen im Rahmen des Gesetzes zum Schutz personenbezogener Daten beeinträchtigt werden. Wie Nehaa erklärte, hat die Lokalisierung im Gesetzentwurf zwei Aspekte. Zunächst muss mindestens eine Kopie aller personenbezogenen Daten in Indien gespeichert werden. Dies könnte schwierig zu operationalisieren sein. Zweitens gibt es eine Ausnahmeregelung für „kritische personenbezogene Daten“, die nur in Indien gespeichert und verarbeitet werden dürfen. Kritische personenbezogene Daten sind derzeit nicht definiert, die Zentralregierung muss die Arten von Daten melden, die unter diese Kategorie fallen. Eine Theorie besagt, dass bestimmte Arten von SPD als kritische personenbezogene Daten angesehen werden, ist aber noch unklar.

Einer der Teilnehmer, ein Data Scientist, der bei einem Datenanalyseunternehmen arbeitet, wies darauf hin, dass strenge Anforderungen an die Datenspeicherung selbst für große Unternehmen zu erheblichen Kosten führen und daher Startups von dieser Maßnahme besonders betroffen wären. In Bezug auf die hohen Strafen und die strafrechtliche Haftung, die für die Nichteinhaltung der Bestimmungen des Gesetzentwurfs vorgeschrieben sind, betonte Vikas Chauhan von 1MG, dass wir kein System haben können, in dem Digital-Health-Unternehmer aus Angst vor strafrechtlicher Verfolgung Angst haben, Digital-Health-Unternehmen zu betreiben und innovativ zu sein. Seiner Meinung nach sollte die Strafe finanziell sein und es sollte unterschiedliche Haftungsniveaus für Unternehmen geben, die wiederholt gegen dieselbe Bestimmung verstoßen. Damit wird sichergestellt, dass Unternehmer nicht wegen Bagatelldelikten einer existenziellen Bedrohung ausgesetzt sind.

Wie gehen Startups mit dem Gesetz zum Schutz personenbezogener Daten um?

Es ist klar, dass das neue Datenschutzregime erhebliche Konsequenzen für Startups haben wird und Unternehmen davon profitieren würden, sich an der Gestaltung des Gesetzes zum Schutz personenbezogener Daten zu beteiligen. Glücklicherweise hat das Ministerium für Elektronik und Informationstechnologie (MeitY) einen öffentlichen Aufruf zur Einreichung von Kommentaren veröffentlicht, dessen Frist am 30. September schnell näher rückt. Wir empfehlen allen datenlastigen Startups, mit ihren Kommentaren zu antworten, um sicherzustellen, dass die Bedenken des Startups ausgeräumt werden Ökosystem sind vor dem MeitY gebührend vertreten.