Prawie cztery lata po tym, jak rząd po raz pierwszy zlecił Komitetowi Sprawiedliwości Srikrishna wprowadzenie prawa o ochronie danych, Indie w końcu zbliżają się do jego realizacji. Wspólna Komisja Parlamentarna ( JPC) niedawno przedstawiła długo oczekiwany raport w sprawie ustawy o ochronie danych osobowych z 2019 r. (Ustawa z 2019 r.). Sformułowała również własną wersję proponowanej ustawy – nazywając ją ustawą o ochronie danych (DP Bill). Zmiana nazwy odzwierciedla decyzję KWJ o rozszerzeniu zakresu ustawy o dane nieosobowe.

Proponowana ustawa określa nakazy i zakazy dla wszystkich firm przetwarzających dane. Aby więc przestrzegać prawa, startupy muszą ponownie przemyśleć, w jaki sposób gromadzą, przechowują, wykorzystują i udostępniają dane. Muszą przyjąć podejście „prywatności w fazie projektowania”, tj. wbudować prywatność w sam projekt swojego systemu/ów i zapewnić jego bezpieczeństwo. Będą również musieli stworzyć procesy do obsługi wniosków od użytkowników, którzy chcą skorzystać z pewnych praw w odniesieniu do swoich danych. Oprócz tego wymaga to budowania zdolności technicznych do udostępniania danych rządowi do celów kształtowania polityki, uzyskiwania certyfikatów dla ich sprzętu i oprogramowania oraz, między innymi, lokalnego przechowywania danych wrażliwych. Zmiany te niosą ze sobą znaczne koszty przestrzegania przepisów, które firmy będą musiały uwzględnić i ważne jest, aby startupy miały wystarczająco dużo czasu na dostosowanie się do proponowanego prawa.

Oprócz zmian w tekście ustawy z 2019 r. KWJ stawia również ogólne rekomendacje, takie jak traktowanie platform społecznościowych jako wydawców treści, egzekwowanie obowiązkowej weryfikacji użytkowników mediów społecznościowych, formułowanie m.in. surowej polityki lokalizacji danych. Chociaż ogólne zalecenia mogą nie przełożyć się na natychmiastowe działania regulacyjne, mogą w dłuższej perspektywie napędzać myślenie rządu. Ważne jest, aby startupy zaangażowały się w te rekomendacje, aby miały poczucie, co może przynieść przyszłość regulacji.

Aby pomóc startupom zrozumieć wpływ proponowanego prawa, Ikigai Law organizuje wirtualną dyskusję przy okrągłym stole — „ Rozszyfruj: wpływ indyjskiego prawa o ochronie danych na startupy ” — 24 lutego 2022 r. o godzinie 15:00 czasu IST. Niektóre z tematów poruszanych podczas sesji obejmują obowiązkowe udostępnianie rządowi danych nieosobowych, ograniczenia w transgranicznym przepływie danych, ujawnianie uczciwości algorytmów i ogólne wyzwanie dla startupów w zakresie zgodności.

Zgłoś się tutaj, aby wziąć udział

Wpływ włączenia danych nieosobowych do przepisów dotyczących prywatności

Ustawa DP ma na celu uregulowanie danych nieosobowych ( NPD) w ramach ochrony danych osobowych. Daje rządowi centralnemu szerokie uprawnienia w zakresie dostępu do NPD w celu formułowania polityki dla gospodarki cyfrowej i upoważnia Urząd Ochrony Danych (DPA) do badania naruszeń NPD.

Ale dlaczego ma to mieć znaczenie dla startupów?

Przewiduje się, że NPD obejmie szeroką gamę danych, w tym dane pozbawione wszelkich informacji umożliwiających identyfikację osoby, dane zanonimizowane oraz dane, które nigdy nie miały żadnego związku z danymi osobowymi, takie jak dane pogodowe, dane geoprzestrzenne, dane telemetryczne, dane dotyczące podróży itp. Firmy inwestują zasoby techniczne i finansowe, aby czerpać wartość z NPD, poddając je narzędziom do przetwarzania i analizy danych. Takie dane obejmują dane surowe (dane zebrane u źródła), dane wywnioskowane, kluczowe spostrzeżenia biznesowe (które mają charakter zastrzeżony).

Zezwolenie rządowi na dostęp do zastrzeżonych danych może ingerować w prawa własności intelektualnej ( IP ) firm dotyczące ich zbiorów danych. Może to również wpłynąć na startupy, które opierają się na spostrzeżeniach z danych w celu uzyskania przewagi konkurencyjnej na rynku. Wymaganie od firm rezygnacji z NPD może zniechęcić je do inwestowania w gromadzenie, agregację, przechowywanie i analitykę danych. Może hamować innowacje, hamować rozwój rynku danych i powstrzymywać firmy przed eksperymentowaniem z danymi i innymi zasobami związanymi z danymi.

Celem regulacji danych osobowych jest zapewnienie prywatności jednostki, a regulacja NPD jest wydobyciem wartości ekonomicznej. Regulowanie danych osobowych i NPD pod jednym parasolem może osłabić oba cele.

Wyzwania związane z niepewnością i zgodnością

Ustawa DP, podobnie jak ustawa z 2019 r., klasyfikuje dane jako wrażliwe dane osobowe i krytyczne dane osobowe. Dane wrażliwe obejmują niewyczerpującą listę rutynowo przetwarzanych informacji, takich jak dane finansowe, dane zdrowotne, dane genetyczne i inne. Krytyczne dane osobowe nie zostały jeszcze zdefiniowane przez rząd. Przetwarzanie danych wrażliwych wiąże się z bardziej rygorystycznymi obowiązkami w zakresie zgodności, w tym z wymogiem uzyskania wyraźnej zgody od użytkowników.

Ogólny charakter zarówno danych wrażliwych, jak i krytycznych, a także zdolność rządu do zgłaszania dodatkowych kategorii mogą powodować niepewność. Może to utrudnić start-upom ocenę, jak klasyfikować dane i jak ustalać zgodność dla różnych kategorii.

W przeciwieństwie do przepisów o ochronie danych w innych jurysdykcjach, proponowane prawo indyjskie koncentruje się w dużej mierze na zgodzie użytkownika jako podstawie prawnej do przetwarzania danych. Proponowane prawo wymagałoby od firm uzyskania zgody nawet na rutynowe operacje, takie jak ulepszanie produktów, poprawki błędów itp., co prowadziłoby do nadmiernego powiadamiania i zmęczenia wyrażaniem zgody przez użytkowników. Tworzy również dwa standardy — zgodę i wyraźną zgodę — bez jasnego wyjaśnienia różnicy między nimi, co zwiększa niepewność.

Proponowany regulator danych będzie miał prawo do wyznaczenia dowolnego powiernika danych (nasz odpowiednik tego, co RODO nazywa „administratorami danych”, podmiotów, które decydują o celu i środkach gromadzenia danych) jako znaczącego powiernika danych (SDF), w oparciu o określone kryteria . Obejmuje to między innymi ilość i wrażliwość przetwarzanych danych, korzystanie z nowych technologii, przetwarzanie danych dzieci, firmy zajmujące się mediami społecznościowymi powyżej pewnego progu użytkowników.

SDF zaostrzyły wymagania dotyczące zgodności, takie jak przeprowadzanie ocen wpływu na ochronę danych i wyznaczanie inspektorów ochrony danych. Fintechy, które przetwarzają dane finansowe, i każdy startup, który korzysta z nowych technologii, będzie na krawędzi, jeśli chodzi o ich klasyfikację jako SDF

Co więcej, w celu stworzenia dodatkowych zabezpieczeń chroniących dane dzieci, prawo skutecznie wymaga, aby wszystkie firmy internetowe w jakiś sposób ograniczały wiek swoich usług. Jednak wytyczne dotyczące standardów technik bramkowania wiekowego będą pochodzić od regulatora dopiero na późniejszym etapie, co utrudni planowanie zgodności.

Lokalne wymagania dotyczące pamięci masowej mogą wpłynąć na konkurencyjność start-upów

Duża liczba indyjskich startupów polega na transgranicznym transferze danych, na przykład w celu korzystania z usług dostawców usług w chmurze zlokalizowanych poza Indiami. Postanowienia utrudniające swobodny przepływ danych spowodują trudności dla startupów, które nie będą miały dostępu do opłacalnych i najlepszych w swojej klasie technologii i infrastruktury. Ponadto lokalne wymagania dotyczące pamięci masowej mogą stanowić przeszkodę dla startupów zajmujących się technologią deep tech (AI/ML, analiza danych), które mają ambicje zaspokojenia potrzeb konsumentów na całym świecie.

Ustawa z 2019 r. nałożyła już kilka ograniczeń na transgraniczny transfer danych. JPC w DP Bill zaproponował dodatkowe biurokratyczne przeszkody w transferze danych, takie jak wymaganie zgody rządu centralnego na transfery zgodnie z umową lub schematami wewnątrzgrupowymi.

Swobodny przepływ danych działa jak korektor, pozwalając startupom konkurować na całym świecie pod względem ceny i jakości, niezależnie od ich wielkości. Z drugiej strony nieproporcjonalne ograniczenia transferu danych mogą odciąć start-upom dostęp do tańszych usług i najnowocześniejszych technologii oferowanych przez globalne platformy chmurowe i międzynarodowe rynki.

Ujawnienie „uczciwości” algorytmów i tajemnic handlowych może wpłynąć na prawa własności intelektualnej start-upów

Proponowana ustawa wymaga od podmiotów dzielenia się informacjami na temat „uczciwości algorytmu” z regulatorem danych. Ma to na celu zapewnienie przejrzystości przetwarzania i zapobieganie nadużyciom algorytmów. Nie jest jasne, co oznacza „uczciwość” ani ile informacji wymagałoby ujawnienia. Może to również mieć wpływ na prawa własności intelektualnej firmy, zwłaszcza jeśli algorytm jest interpretowany przez regulatora jako algorytmiczny kod źródłowy.

Ustawa DP Bill pozwala również osobom fizycznym zażądać od firm przeniesienia ich danych osobowych do siebie lub innej firmy. Zakres danych osobowych, które mogą być przekazywane, jest szeroki, ponieważ obejmuje dane generowane w trakcie świadczenia usług na rzecz użytkowników oraz wszelkie dane wchodzące w skład dowolnego profilu użytkowników. Może to obejmować poufne informacje biznesowe.

Podczas gdy ustawa z 2019 r. pozwalała firmom odrzucać te wnioski – jeśli było to konieczne do ochrony tajemnic handlowych – JPC sugeruje usunięcie zwolnienia dotyczącego tajemnicy handlowej, ujawniając poufne informacje biznesowe firmy konkurentom. Ponieważ startupy w znacznym stopniu polegają na swoich fosach danych, aby utrzymać konkurencyjność, może to zaszkodzić ich perspektywom rozwoju.

Więcej certyfikatów

DP Bill proponuje również ustanowienie systemu certyfikacji i testowania oprogramowania i sprzętu urządzeń komputerowych, aby zapobiec wyciekowi danych lub zagrożeniu bezpieczeństwa narodowego na urządzeniach cyfrowych. Może to prowadzić do stworzenia nowych standardów sprzętu/oprogramowania – oprócz istniejących standardów lokalnych i globalnych. Może to zakłócić operacje produkcyjne i obciąży tylko start-upy, które mogą być zmuszone do zmiany swoich systemów sprzętowych i programowych, co spowoduje wzrost kosztów.

Więc co dalej?

Chociaż raport JPC zaleca, aby organ nadzoru danych miał na uwadze interesy start-upów i małych firm, aby zachęcać do innowacji, niepewne zgodność, surowe lokalne wymagania dotyczące przechowywania, między innymi, mogą udaremnić ten zamiar. Dlatego kluczowe jest komunikowanie obaw startupów rządowi, który debatuje nad ustawą DP.

W tym celu prawo Ikigai zaprasza wszystkich interesariuszy z ekosystemu do omówienia wpływu proponowanych ram ochrony danych osobowych na wirtualnym okrągłym stole — Rozszyfruj: wpływ indyjskich ram ochrony danych dla start-upów 24 lutego 2022 r. o godzinie 15:00 IST.

Zarezerwuj swoje automaty teraz