Klasyfikacja danych w ramach ustawy PDP: konsekwencje dla start-upów

Opublikowany: 2020-03-13

Przedstawiony parlamentowi w grudniu 2019 r. projekt ustawy PDP nie jest jasny w zakresie kategoryzacji danych osobowych, wrażliwych danych osobowych i krytycznych danych osobowych

Przy tak niejasnej kategoryzacji grozi nie tylko narażeniem użytkowników na większe ryzyko prywatności, ale także wpływa na przetwarzanie danych przez indyjskie startupy

Obecnie projekt ustawy jest rozpatrywany przez wspólną komisję parlamentarzystów

Wprowadzona do Parlamentu 11 grudnia 2019 r. ustawa o ochronie danych osobowych (PDP) ma stanowić kamień węgielny przyszłości indyjskiej gospodarki cyfrowej i ochrony prywatności jej obywateli.

Jednak kategoryzacja danych jako danych osobowych (PD), wrażliwych danych osobowych (SPD) i krytycznych danych osobowych (CPD) jest niezgodna z tym oczekiwaniem. Obawy wynikają z braku jasności co do tego, które dane kwalifikują się do każdej kategorii, co stwarza niepewność i wyzwania dla firm, którym brakuje wymaganej widoczności, aby podjąć niezbędne środki ostrożności.

Z kolei niejasna kategoryzacja danych naraża użytkowników na zagrożenia prywatności, utrudniając określenie kontroli bezpieczeństwa odpowiednich do ochrony danych. Konsekwencje tej kategoryzacji, zwłaszcza dla startupów, muszą być dokładnie rozważone, ponieważ wspólna komisja parlamentarzystów rozpatruje projekt ustawy.

Szeroka definicja wrażliwych danych osobowych

Podzbiór danych osobowych SPD składa się z danych finansowych, danych dotyczących zdrowia, danych biometrycznych, danych genetycznych, danych wskazujących na przekonania religijne/polityczne/orientację seksualną lub status kastowy/plemienny. Niepewność regulacyjna wynikająca z tej listy może stwarzać wyzwania, na przykład traktowanie wszystkich danych finansowych/danych ujawniających przynależność kastową lub religię jako SPD może przyciągnąć dodatkowe ograniczenia w transgranicznym transferze i przetwarzaniu danych.

„Dane finansowe” są nadal szeroko definiowane w ustawie PDP. Na przykład nazwiska zebrane przez firmy oferujące usługi finansowe mogą zostać zaklasyfikowane jako SPD. Ponadto uwzględnienie identyfikatorów płatności niezbędnych do transakcji peer-to-peer w zakresie „danych finansowych” wymagałoby od użytkowników przestrzegania zobowiązań SPD wynikających z rachunku. Z pewnością przysporzy również problemów dla operacji, takich jak zarządzanie ryzykiem i wykrywanie oszustw. Ponadto uwzględnienie danych dotyczących zdrowia i danych biometrycznych jest również problematyczne.

Na pierwszy rzut oka definicja danych biometrycznych może mieć wpływ na usługi wspomagające aktywowane głosem, podczas gdy dane dotyczące zdrowia z pewnością zmienią praktyki startupów oferujących usługi diagnostyczne, a także oferujących między innymi porady żywieniowe.

Klasyfikacja SPD może mieć również niepraktyczny wpływ na codzienne korzystanie z publicznie dostępnych informacji, takich jak nazwiska lub wszelkie informacje ujawniające informacje polityczne/religijne. Na przykład firmy wymagają wyraźnej zgody użytkownika na przetwarzanie SPD — co oznacza, że ​​będą musiały informować je o konsekwencjach przetwarzania ich danych oprócz regularnych wymagań dotyczących powiadomienia i zgody.

Polecany dla Ciebie:

Jak platforma agregacji kont RBI ma zmienić fintech w Indiach
Zasoby

Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych startupów poprzez „Jugaad”: CEO CitiusTech
Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Co oznacza przepis anty-profitowy dla indyjskich startupów?
Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

W jaki sposób startupy Edtech pomagają w podnoszeniu umiejętności i przygotowują pracowników na przyszłość
Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

W związku z tym w kraju takim jak Indie firmy zbierające nazwisko osoby, które ujawniają kastę/religię, byłyby zmuszone do przestrzegania wszystkich wymogów SPD wynikających z ustawy. Z drugiej strony, skrócenie listy SPD na wzór unijnego RODO lub nawet kategoryzacja SPD na podstawie szczególnego ryzyka związanego z „celem” przetwarzania może złagodzić te obawy.

Niepewność regulacyjna może utrudnić przestrzeganie przepisów

Ustawa PDP nie definiuje ustawicznego doskonalenia zawodowego ani nie stanowi podstawy dla tej klasyfikacji. Upoważnia również rząd centralny do zgłaszania nowych kategorii SPD. Oba te przepisy powodują niepewność regulacyjną i utrudniają przestrzeganie przepisów. Brak jakichkolwiek jasnych kryteriów tylko potęguje tę niepewność – szczególnie w przypadku mniejszych firm, które obawiają się gromadzenia danych, które nie zostały nawet zdefiniowane w prawie, ale mają większą zgodność z nimi.

Umożliwienie rządowi centralnemu określenia ustawicznego doskonalenia zawodowego bez konkretnych wytycznych daje mu nadmierne uprawnienia, których może nie dysponować niezbędną wiedzą fachową. Najbardziej niepokojące jest to, że nie będzie wymagane konsultowanie się z organem ochrony danych (DPA) lub branżą w procesie klasyfikacji, poważnie zniechęcając do przewidywalności biznesowej i powodując obawy dotyczące nadużyć.

Jednak upoważnienie rządu centralnego do przeprowadzenia przejrzystych konsultacji DPA i branżowych przed powiadomieniem CPD (i nowych kategorii SPD) może rozwiązać te obawy. Jak już wcześniej napisali moi koledzy, większa przejrzystość w stanowieniu prawa pozwala firmom planować i być gotowym na przyszłość, podczas gdy nieprzejrzyste procesy stanowienia prawa zazwyczaj działają jako bariery wejścia na rynek, co skutkuje kosztownymi sporami sądowymi.

Ograniczenia dotyczące przelewów transgranicznych

Szeroka definicja SPD praktycznie skutkuje wymogiem przechowywania prawie wszystkich rodzajów danych w Indiach. Ponadto, ponieważ większość danych jest gromadzona i przechowywana jako mieszany zestaw danych, składający się zarówno z PD, jak i SPD, oddzielenie SPD lub PD od takich zestawów danych będzie niepraktyczne. Ograniczenia te utrudnią działalność startupom, które muszą udostępniać dane podmiotom zagranicznym lub planującym ekspansję globalną, co może obniżyć marże zysku, zmniejszyć produktywność i osłabić konkurencyjność.

Ponieważ jednak przenoszenie SPD jest już uregulowane, lokalne ograniczenia dotyczące przechowywania mogą zostać osłabione. Ponadto, biorąc pod uwagę, że projekt ustawy PDP zezwala na przekazywanie danych do „dopuszczalnych” krajów, należy wspierać dwustronne i wielostronne ramy transferu danych.

Podsumowując, niejednoznaczność definicji SPD i CPD oraz ograniczeń opartych na tych definicjach stanowi poważne ograniczenie dla firm planujących swoją działalność gospodarczą i środki zgodności, co z kolei powoduje osłabienie prywatności użytkowników. Zamiast tego, aby złagodzić otwarty charakter istniejącej kategoryzacji, projekt ustawy powinien umożliwiać opracowanie jasnych kryteriów klasyfikacji w oparciu o solidne konsultacje branżowe.

Ponadto dodatkowe kategorie SPD i CPD należy zgłaszać dopiero po zapoznaniu się z informacjami od zainteresowanych stron. Podejścia konsultacyjne prawdopodobnie zwiększą zaufanie i akceptację branży, ustanowią dobrze poinformowanego regulatora i zwiększą wszechstronną odpowiedzialność.