Was wird das Schicksal der TRAI-Empfehlungen und des RBI-Rundschreibens sein, nachdem das PDP-Gesetz in Kraft getreten ist?
Veröffentlicht: 2018-08-08Während TRAI Daten als Eigentum der Benutzer behandelt, gewährt der Gesetzentwurf zum Schutz personenbezogener Daten den Benutzern keine Eigentumsrechte
PDP Bill schafft eine treuhänderische Beziehung zwischen Datentreuhändern und Benutzern, so dass Erstere verpflichtet sind, im besten Interesse der Letzteren zu handeln
Das RBI-Rundschreiben scheint im Großen und Ganzen mit dem PDP-Gesetz in Einklang zu stehen; Allerdings ist die Unklarheit darüber, was kritische personenbezogene Daten ausmacht, ein Problem
Vor etwa 10 Tagen veröffentlichte der Sachverständigenausschuss unter dem Vorsitz von Justiz Srikrishna (Srikrishna-Ausschuss), der letztes Jahr vom Ministerium für Elektronik und Informationstechnologie (MeitY) ernannt wurde, seine endgültigen Empfehlungen dazu, wie Indiens Datenschutzrahmen aussehen sollte. Es veröffentlichte auch einen Entwurf für ein Gesetz zum Schutz personenbezogener Daten, 2018 (PDP Bill).
In diesem Artikel stelle ich das PDP-Gesetz den Empfehlungen der Telecom Regulatory Authority of India (TRAI) zu Datenschutz und Dateneigentum und dem Diktat der Reserve Bank of India (RBI) zur Lokalisierung von Zahlungssystemdaten gegenüber. (Siehe hier und hier für zusammengestellte Listen von Artikeln zu anderen Aspekten des PDP-Gesetzes).
Also, was wird Ihrer Meinung nach mit dem RBI-Rundschreiben und den TRAI-Empfehlungen passieren, wenn (jede Version davon) das PDP-Gesetz verabschiedet wird? Beginnen wir mit etwas jüngerer Geschichte.
Im Juli 2017 beauftragte die indische Regierung das Srikrishna-Komitee mit der Entwicklung eines umfassenden Datenschutzgesetzes für Indien. Das Komitee veröffentlichte daraufhin ein Weißbuch zur öffentlichen Kommentierung und führte später, im Januar 2018, vier öffentliche Konsultationen durch – jeweils eine in Delhi, Bangalore, Hyderabad und Mumbai. Sechs Monate später, nachdem alle Spekulationen über den Zeitpunkt ihrer Freilassung beendet waren, veröffentlichte das Komitee seine endgültigen Empfehlungen und das PDP-Gesetz. Unterdessen begann TRAI im August 2017 mit seiner eigenen Konsultation zu Datenschutz, Datensicherheit und Dateneigentum im Telekommunikationssektor. Die Beratungen von TRAI liefen parallel zu den eigenen Übungen des Srikrishna-Komitees und gipfelten in der Veröffentlichung der Datenschutz-Empfehlungen der Telekommunikationsregulierungsbehörde am 16. Juli 2018, weniger als zwei Wochen bevor das Srikrishna-Komitee seine eigenen herausgab.
TRAI war nicht die einzige Regulierungsbehörde, die auf den Datenschutzzug aufgesprungen ist, bis die endgültigen Empfehlungen des Srikrishna-Ausschusses veröffentlicht wurden. Im April, Anfang dieses Jahres, hat die Finanzaufsichtsbehörde des Landes – die RBI – angeordnet, dass Zahlungssystemdaten lokalisiert werden müssen, was bedeutet, dass sie nur in Indien gespeichert werden müssen. Während die Empfehlungen von TRAI genau das sind – Empfehlungen – trat das Mandat der RBI sofort in Kraft. Zahlungssystemanbieter haben bis zum 15. Oktober 2018 Zeit, die Norm einzuhalten und die RBI über ihre Einhaltung zu informieren.
Die Aktionen von TRAI und RBI kamen beim Srikrishna-Komitee nicht gut an. Kurz nachdem TRAI seine Empfehlungen veröffentlicht hatte, wurde berichtet, dass der Ausschuss über den Zeitpunkt des Schritts der Telekommunikationsregulierungsbehörde verärgert war, da er die Veröffentlichung seiner eigenen endgültigen Empfehlungen verzögern würde. In Bezug auf den Schritt der RBI meinte Richter Srikrishna auf der Pressekonferenz zur Veröffentlichung der endgültigen Empfehlungen des Ausschusses, dass die Finanzaufsichtsbehörde mit ihrem Rundschreiben voreilig war. Abgesehen von der Unzufriedenheit des Ausschusses mit der TRAI und der RBI werden die sektoralen Regulierungsbehörden eine Schlüsselrolle bei der Weiterentwicklung des indischen Datenschutzrahmens spielen. Richter Srikrishna hat dies zuvor selbst erkannt.
Für dich empfohlen:
Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...
Wie Metaverse die indische Automobilindustrie verändern wird
Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?
Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...
New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...
Indische Startups nehmen Abkürzungen bei der Jagd nach Finanzierung
Das PDP-Gesetz ist nur der erste Schritt zur Entwicklung eines umfassenden Datenschutzrahmens für Indien. Sektorale Regulierungsbehörden, einschließlich TRAI und RBI, werden zweifellos eine Schlüsselrolle bei der Operationalisierung des PDP-Gesetzes und der Entwicklung von Datenschutzgrundsätzen und -normen für ihre jeweiligen Sektoren spielen. Während das PDP-Gesetz die Schaffung einer neuen Behörde – der Datenschutzbehörde – zur Überwachung der Umsetzung des Gesetzes vorsieht, verlangt es von dieser Behörde auch, andere sektorale Regulierungsbehörden zu konsultieren und mit ihnen zusammenzuarbeiten.
Da das PDP-Gesetz das übergeordnete Gesetz sein wird, müssen alle Maßnahmen, die die TRAI, die RBI oder eine andere Regulierungsbehörde zum Datenschutz ergreifen, im Einklang mit ihren Bestimmungen stehen. Jede Maßnahme einer Aufsichtsbehörde, die nicht mit dem übergeordneten Gesetz vereinbar ist, wenn es in Kraft tritt, muss überprüft werden. Vor diesem Hintergrund ist es unwahrscheinlich, dass die weitreichenden Datenschutzempfehlungen von TRAI, die seine Zuständigkeit weit über die Telekommunikation hinaus erweitern, in ihrer derzeitigen Form in konkrete Vorschriften umgesetzt werden. Das „digitale Ökosystem“, von dem die Regulierungsbehörde für Telekommunikation spricht, wird in jedem Fall dem Datenschutzgesetz des Landes unterliegen.
Erweitert TRAI seinen Zuständigkeitsbereich?
Der Versuch der TRAI, ihre Zuständigkeit zu erweitern, ist nicht neu und lässt sich mindestens bis 2008 zurückverfolgen, als sie erstmals versuchte, „Mehrwertdienste“ zu regulieren. In den letzten zehn Jahren wurden diese Bemühungen fortgesetzt, mehr als nur die Telekommunikation zu regulieren, auch wenn sich die Terminologie geändert hat – aus „Mehrwertdiensten“ wurden „Anwendungsdienste“, „Over-the-Top-Dienste“ und jetzt die „digitalen Dienste“. Ökosystem“.
Die Datenschutzempfehlungen von TRAI – der jüngste Versuch einer Überregulierung – unterscheiden sich in bestimmten Schlüsselbereichen vom PDP-Gesetz.
Nach Ansicht von TRAI besitzen die Benutzer ihre personenbezogenen Daten, und Datenverantwortliche (im Sinne des PDP-Gesetzes als Datentreuhänder bezeichnet) sind „nur Verwalter“ dieser Daten. Das PDP-Gesetz gewährt Benutzern keine Eigentumsrechte, sondern schafft eine treuhänderische Beziehung zwischen Datentreuhänder und Benutzern, so dass Erstere verpflichtet sind, im besten Interesse der Letzteren zu handeln.
Während das PDP-Gesetz nur Datentreuhänder und Datenverarbeiter nur unter bestimmten Bedingungen haftbar macht, ist TRAI der Ansicht, dass sowohl Verantwortliche als auch Auftragsverarbeiter haftbar gemacht werden sollten. Die Empfehlungen von TRAI und das PDP-Gesetz unterscheiden sich auch bei der Datenlokalisierung. Die Telekom-Regulierungsbehörde hat keine konkreten Empfehlungen zu diesem Thema abgegeben und sich an das Srikrishna-Komitee gewandt.
Andererseits legt das PDP-Gesetz unterschiedliche Grade der Datenlokalisierung für verschiedene Datenkategorien fest und schreibt vor, dass kritische personenbezogene Daten nur in Indien gespeichert und verarbeitet werden. Interessanterweise legt der Gesetzentwurf nicht fest, was kritische personenbezogene Daten sind, und überlässt es der Zentralregierung, diese zu definieren. Es ist wahrscheinlich, dass die Regierung Telekommunikationsdaten als kritische personenbezogene Daten bezeichnen wird.
Im Gegensatz zu den TRAI-Empfehlungen scheint das RBI-Rundschreiben weitgehend mit dem PDP-Gesetz in Einklang zu stehen. Die Unklarheit darüber, was kritische personenbezogene Daten sind, ist jedoch auch ein Problem für Finanzinformationen. Genau wie Telekommunikationsdaten ist es sehr wahrscheinlich, dass die Regierung Finanzdaten als kritische personenbezogene Daten einstufen wird. Sollte dies der Fall sein, müssen alle Finanzdaten und nicht nur Zahlungssystemdaten nur in Indien lokal gespeichert und verarbeitet werden.
Das PDP-Gesetz wird wahrscheinlich modifiziert, bevor es in Kraft tritt. Unabhängig von der endgültigen Form des Gesetzes bleibt jedoch die Tatsache, dass sektorale Regulierungsbehörden eine entscheidende Rolle bei der Gestaltung des indischen Datenschutzgesetzes spielen, unverändert.