Dialog — Przygotowanie indyjskich startupów do ustawy o ochronie danych osobowych
Opublikowany: 2018-09-28Prawo Ikigai we współpracy z Inc42 zorganizowało „Dialog”
Była to dyskusja przy okrągłym stole na temat wpływu ustawy o ochronie danych osobowych
Dyskusja skupiła się na kluczowych kwestiach związanych z projektem ustawy, a mianowicie na nowych wymogach zawiadomienia i zgody; przetwarzanie wrażliwych danych osobowych; i więcej
Na początku tego roku, w kwietniu, Indyjski Bank Rezerw (RBI) wydał okólnik nakazujący wszystkim operatorom systemów płatniczych w kraju przechowywanie danych wyłącznie w Indiach. Ponieważ 15 października zbliża się termin zgodności z dyrektywą RBI, jasne jest, że indyjskie firmy będą musiały wkrótce zreformować swoje praktyki gromadzenia i przetwarzania danych. Wraz z wydaniem ustawy o ochronie danych osobowych z 2018 r. (Ustawa) w sierpniu, ważne stało się, aby zainteresowane strony przewidywały zmiany, które będą musiały wprowadzić z dużym wyprzedzeniem. Zmiany te będą miały znaczący wpływ na start-upy, ponieważ spełnienie nowych wymogów dotyczących prywatności będzie wymagało znacznych nakładów czasu i pieniędzy.
Aby przygotować startupy do nowego reżimu prywatności, Ikigai Law we współpracy z Inc42 zorganizowało Dialog – interaktywną sesję przy okrągłym stole, aby omówić wpływ ustawy o ochronie danych osobowych ze startupami. Dyskusja prowadzona przez Anirudha Rastogi, założyciela Ikigai Law; Nehaa Chaudhari, kierownik ds. polityki, prawo Ikigai i Vaibhav Agrawal, założyciel i dyrektor generalny Inc42, skupili się na kluczowych kwestiach związanych z ustawą, w tym na nowych wymaganiach dotyczących powiadomienia i zgody; przetwarzanie wrażliwych danych osobowych; cel i ograniczenie zbierania; i lokalizacji danych.
Wymagania dotyczące powiadomienia i zgody: na co należy uważać
Omawiając nowe praktyki powiadamiania i wyrażania zgody wymagane na mocy ustawy o ochronie danych osobowych, w Dialogu Anirudh podkreślił, że wcześniej polityki prywatności były traktowane dość lekko. Jednak nowe wymagania dotyczące powiadomienia wynikające z ustawy o ochronie danych osobowych są bardzo szczegółowe. Informacje muszą być podane użytkownikowi w prosty i wyczerpujący sposób, nawet w przypadku języków narodowych . W przypadku startupów zajmujących się Internetem Rzeczy („IoT”) urządzenia będą wymagały ekranów, aby dostarczyć powiadomienia, lub e-mail będzie musiał zostać wysłany w czasie rzeczywistym. Może to utrudniać korzystanie z niektórych urządzeń i może wiązać się z przepychaniem się między zespołami prawnymi i UX/UI firm podczas opracowywania produktu.
Wyrażając swoje obawy dotyczące wymagań dotyczących zgody, uczestnik wyjaśnił, w jaki sposób rozpoznawanie twarzy może stwarzać wyzwania. W przypadku technologii, które wykorzystują rozpoznawanie twarzy do śledzenia zarządzania i obecności grupy, zasady wyrażania zgody są niejasne. Chociaż łatwo jest uzyskać zgodę na podstawie indywidualnej, uchwycenie setek twarzy w tłumie to zupełnie inna gra w piłkę. Na tym etapie uzyskanie zgody na to wydaje się prawie niemożliwe.
Anirudh odpowiedział sugestią, że być może mogliby polegać na podstawie „rozsądnego celu” wynikającej z ustawy o ochronie danych osobowych, ostrzegając jednocześnie, że spełnienie tego standardu byłoby dość wysokie, ponieważ tylko organ ochrony danych jest uprawniony do wymienienia tego, co się liczy jako rozsądny cel, a firmy nie mogą swobodnie określać, jakie rozsądne cele są dla nich samych. Członek publiczności odpowiedział na tę obserwację, mówiąc: „Bardzo ważne jest, aby wziąć pod uwagę koszty przestrzegania przepisów. Obawiam się, że standardy zawarte w tej ustawie są luźno zdefiniowane. Jak firma z rocznym obrotem miliona dolarów odkłada pieniądze na zapewnienie zgodności? Jak uwzględniasz ten koszt w biznesie?”
Wrażliwe dane osobowe: Spełnienie wyższego standardu
Przetwarzanie danych uznanych za „wrażliwe dane osobowe” (SPD) zgodnie z ustawą o ochronie danych osobowych podlega wyższemu progowi zgody niż dane osobowe. Wszystkie hasła, dane finansowe, dane dotyczące zdrowia, oficjalne identyfikatory, dane biometryczne, dane genetyczne, dane wskazujące na przekonania religijne lub polityczne, orientację seksualną lub status kasty/plemienia są uznawane za SPD zgodnie z ustawą o ochronie danych osobowych.
Polecany dla Ciebie:
Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...
Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Co oznacza przepis anty-profitowy dla indyjskich startupów?
W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...
Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...
Indyjskie startupy idą na skróty w pogoni za finansowaniem
Firmy gromadzące lub wykorzystujące te dane będą musiały uzyskać wyraźną zgodę swoich użytkowników w celu przetwarzania tych danych – co oznacza, że będą musiały poinformować użytkowników o konsekwencjach przetwarzania ich danych, oprócz regularnego powiadamiania i wymagań dotyczących zgody.
Anirudh wyjaśnił, że może to mieć niepraktyczne konsekwencje – jeśli użytkownicy platform mediów społecznościowych publikują informacje, które ujawniają ich seksualność, przekonania religijne lub przekonania polityczne, zostaną one uznane za SPD, a na wykorzystanie tych informacji konieczne będzie uzyskanie wyraźnej zgody. Nawet powszechnie dostępne informacje, takie jak nazwiska, które ujawniają przynależność do kasty, będą oznaczone jako SPD w ramach tej ustawy.
Cel i ograniczenie gromadzenia: Ograniczenia dotyczące sposobu, w jaki startupy mogą zarabiać na danych
Gdy ustawa o ochronie danych osobowych wejdzie w życie jako prawo, startupy będą mogły zbierać dane osobowe wyłącznie w celach, które są jasne, konkretne, zgodne z prawem i zakomunikowane z wyprzedzeniem. Mogą zbierać tylko te dane, które są niezbędne do przetwarzania. Wyjaśniając implikacje tego wymogu, Nehaa skomentował: „Zgoda musi być specyficzna dla celu. Nie można zmienić przeznaczenia danych do innego użytku bez poinformowania użytkownika o tej zmianie.” Anirudh zgodził się i wskazał, że może to być szczególnie istotne w przypadku projektów pilotażowych, które zbierają dane bez określonego celu, w nadziei na spieniężenie tych danych w pewnym momencie.
Zgodnie z nowym reżimem prywatności, startupy będą musiały z wyprzedzeniem przewidywać i informować konsumentów o przypadkach użycia i celach gromadzenia danych przed przetworzeniem jakichkolwiek danych, aby upewnić się, że uzyskana przez użytkownika zgoda jest ważna.
Lokalizacja danych: Możliwe skutki
Na pytanie, ile firm przechowuje dane w chmurze, prawie wszyscy obecni odpowiedzieli twierdząco. Wielu uczestników polegało na globalnych platformach przetwarzania w chmurze, takich jak Google Cloud, Microsoft Azure i AWS firmy Amazon. Wyjaśnili, że ich wybór platform w chmurze był determinowany przez szybkość reakcji usługi, opóźnienie usługi w chmurze, dostępność centrów odzyskiwania po awarii i ogólną wydajność. Usługi te pozwalają startupom znacznie obniżyć koszty, ponieważ nie muszą inwestować w duże ilości sprzętu do przechowywania danych.
Na bezpłatny dostęp do globalnych platform przetwarzania w chmurze, z których obecnie korzystają indyjskie startupy, mogą mieć wpływ wymagania dotyczące lokalizacji danych wynikające z ustawy o ochronie danych osobowych. Jak wyjaśnił Nehaa, lokalizacja w ustawie ma dwa aspekty. Po pierwsze, przynajmniej jedna kopia wszystkich danych osobowych musi być przechowywana w Indiach. Operacjonalizacja tego może być trudna. Po drugie, istnieje wydzielenie „krytycznych danych osobowych”, które mogą być przechowywane i przetwarzane wyłącznie w Indiach. Krytyczne dane osobowe są obecnie nieokreślone, rząd centralny musi powiadomić o rodzajach danych, które będą należeć do tej kategorii. Jedna z teorii głosi, że niektóre rodzaje SPD będą uważane za krytyczne dane osobowe, ale nie jest to jeszcze jasne.
Jeden z uczestników, analityk danych współpracujący z firmą zajmującą się analizą danych, zwrócił uwagę, że rygorystyczne wymagania dotyczące przechowywania danych prowadzą do znacznych kosztów nawet dla dużych firm, a zatem startupy będą szczególnie dotknięte tym środkiem. Jeśli chodzi o wysokie kary i odpowiedzialność karną przewidzianą za nieprzestrzeganie przepisów ustawy, Vikas Chauhan z 1MG podkreślił, że nie możemy mieć systemu, w którym przedsiębiorcy zajmujący się zdrowiem cyfrowym boją się prowadzić działalność w zakresie zdrowia cyfrowego i wprowadzać innowacje, z obawy przed postępowaniem karnym. Według niego kara powinna być pieniężna i powinny istnieć różne poziomy odpowiedzialności dla firm, które wielokrotnie naruszają ten sam przepis. Dzięki temu przedsiębiorcy nie będą narażeni na egzystencjalne zagrożenie za drobne przestępstwa.
Jak startupy angażują się w ustawę o ochronie danych osobowych?
Oczywiste jest, że nowy system ochrony danych będzie miał istotne konsekwencje dla startupów, a firmy skorzystałyby na zaangażowaniu się w kształtowanie ustawy o ochronie danych osobowych. Na szczęście Ministerstwo Elektroniki i Technik Informacyjnych (MeitY) wystosowało publiczne wezwanie do zgłaszania uwag, a termin zbliża się szybko 30 września. Zalecamy wszystkim startupom, które przeładowują się danymi, ustosunkować się do swoich uwag, aby upewnić się, że obawy startupu ekosystem są należycie reprezentowane przed MeitY.