Jaki będzie los zaleceń TRAI i okólnika RBI po uchwaleniu ustawy PDP?
Opublikowany: 2018-08-08Podczas gdy TRAI traktuje dane jako własność użytkowników, projekt ustawy o ochronie danych osobowych nie przyznaje użytkownikom żadnych praw własności
PDP Bill tworzy relację powierniczą między powiernikami danych a użytkownikami, tak że ci pierwsi są zobowiązani do działania w najlepszym interesie tych drugich
Okólnik RBI wydaje się być zasadniczo zgodny z ustawą PDP; problemem jest jednak brak jasności co do tego, co stanowi krytyczne dane osobowe
Około 10 dni temu Komitet Ekspertów pod przewodnictwem Justice Srikrishna (Komitet Srikrishna), powołany przez Ministerstwo Elektroniki i Technologii Informacyjnych (MeitY) w zeszłym roku, opublikował ostateczne zalecenia dotyczące tego, jak powinny wyglądać indyjskie ramy ochrony danych. Wydała również projekt ustawy o ochronie danych osobowych z 2018 r. (Ustawa PDP).
W tym artykule zestawiam ustawę PDP z zaleceniami Telecom Regulatory Authority of India (TRAI) w sprawie prywatności i własności danych oraz dyktatem Reserve Bank of India (RBI) w sprawie lokalizacji danych systemów płatniczych. (Patrz tutaj i tutaj, aby zapoznać się ze zbiorową listą artykułów dotyczących innych aspektów ustawy PDP).
A więc, jak myślisz, co stanie się z okólnikiem RBI i zaleceniami TRAI, gdy (dowolna wersja) ustawy PDP zostanie uchwalona? Zacznijmy od niedawnej historii.
W lipcu 2017 r. rząd Indii zlecił Komitetowi Srikrishna opracowanie kompleksowego prawa o ochronie danych w Indiach. Następnie komitet wydał białą księgę do publicznych komentarzy, a później, w styczniu 2018 r., przeprowadził cztery konsultacje społeczne – po jednej w Delhi, Bangalore, Hyderabadzie i Bombaju. Sześć miesięcy później, kończąc wszystkie spekulacje na temat terminu ich wydania, komisja przedstawiła swoje ostateczne rekomendacje i projekt ustawy PDP. Tymczasem w sierpniu 2017 r. TRAI rozpoczął własne konsultacje dotyczące prywatności, bezpieczeństwa danych i własności danych w sektorze telekomunikacyjnym. Obrady TRAI przebiegały równolegle do własnych działań Komitetu Srikrishna i zakończyły się opublikowaniem przez regulatora telekomunikacyjnego swoich zaleceń dotyczących prywatności w dniu 16 lipca 2018 r., niecałe dwa tygodnie przed opublikowaniem przez Komitet Srikrishna własnych.
TRAI nie był jedynym regulatorem, który wskoczył na modę na ochronę danych w oczekiwaniu na wydanie ostatecznych zaleceń Komitetu Srikrishna. W kwietniu, na początku tego roku, krajowy regulator finansowy — RBI — nakazał lokalizację danych systemów płatności, co oznacza, że muszą być one przechowywane tylko w Indiach. Podczas gdy zalecenia TRAI są właśnie tym — zaleceniami — mandat RBI wszedł w życie natychmiast. Dostawcy systemów płatniczych mają czas do 15 października 2018 r. na dostosowanie się do normy i poinformowanie RBI o ich zgodności.
Działania TRAI i RBI nie podobały się Komitetowi Srikrishna. Wkrótce po tym, jak TRAI opublikował swoje zalecenia, poinformowano, że Komitet był zdenerwowany terminem posunięcia regulatora telekomunikacyjnego, ponieważ opóźniłoby to wydanie własnych ostatecznych zaleceń. Jeśli chodzi o ruch RBI, na konferencji prasowej mającej na celu opublikowanie ostatecznych zaleceń Komitetu, sędzia Srikrishna wyraził opinię, że organ nadzoru finansowego wyskoczył z broni z okólnikiem. Niezależnie od niezadowolenia Komitetu z TRAI i RBI, sektorowi regulatorzy będą odgrywać kluczową rolę w rozwoju indyjskich ram ochrony danych. Sprawiedliwość Srikrishna sam to wcześniej rozpoznał.
Polecany dla Ciebie:
Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...
Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Co oznacza przepis anty-profitowy dla indyjskich startupów?
W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...
Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...
Indyjskie startupy idą na skróty w pogoni za finansowaniem
Projekt ustawy PDP to dopiero pierwszy krok w kierunku opracowania kompleksowych ram ochrony danych dla Indii. Sektorowe organy regulacyjne, w tym TRAI i RBI, bez wątpienia odegrają kluczową rolę w operacjonalizacji ustawy PDP oraz opracowywaniu zasad i norm dotyczących prywatności dla swoich sektorów. Chociaż projekt ustawy PDP przewiduje utworzenie nowego organu — Urzędu Ochrony Danych — do nadzorowania wdrażania prawa, wymaga również, aby ten organ konsultował się i współpracował z innymi regulatorami sektorowymi.
Biorąc pod uwagę, że ustawa PDP będzie prawem macierzystym, wszelkie działania podejmowane przez TRAI, RBI lub jakikolwiek inny regulator w zakresie ochrony danych będą musiały być zgodne z jej postanowieniami. Każde działanie jakiegokolwiek organu regulacyjnego, które jest niezgodne z prawem macierzystym w momencie jego wejścia w życie, będzie musiało zostać ponownie przeanalizowane. Mając to na uwadze, jest mało prawdopodobne, aby szeroko zakrojone zalecenia TRAI dotyczące prywatności, które rozszerzają jego jurysdykcję daleko poza telekomunikację, przełożyły się na konkretne regulacje w ich obecnej formie. „Cyfrowy ekosystem”, o którym mówi regulator telekomunikacyjny, będzie w każdym razie podlegać krajowym przepisom o ochronie danych.
Czy TRAI rozszerza swoją jurysdykcję?
Podjęta przez TRAI próba rozszerzenia swojej jurysdykcji nie jest nowa i można ją prześledzić co najmniej do 2008 r., kiedy po raz pierwszy podjęto próbę uregulowania „usług o wartości dodanej”. W ostatniej dekadzie kontynuowano wysiłki zmierzające do uregulowania czegoś więcej niż tylko telekomunikacji, choć terminologia uległa zmianie — „usługi o wartości dodanej” stały się „usługami aplikacyjnymi”, „usługami over-the-top”, a teraz „usługami cyfrowymi”. ekosystem”.
Zalecenia TRAI dotyczące prywatności — jego najnowsza próba nadmiernej regulacji — różnią się od ustawy PDP w niektórych kluczowych obszarach.
W opinii TRAI, użytkownicy są właścicielami swoich danych osobowych, a administratorzy danych (zwani powiernikami danych zgodnie z ustawą PDP) są „tylko powiernikami” tych danych. Projekt ustawy PDP nie przyznaje użytkownikom żadnych praw własności, ale tworzy relację powierniczą między powiernikami danych a użytkownikami, tak że ci pierwsi są zobowiązani do działania w najlepszym interesie tych drugich.
Ponadto, podczas gdy ustawa PDP nakłada na powierników danych odpowiedzialność zgodnie z prawem, a podmioty przetwarzające dane tylko pod pewnymi warunkami, TRAI jest zdania, że zarówno administratorzy danych, jak i podmioty przetwarzające powinni ponosić odpowiedzialność. Zalecenia TRAI i projekt ustawy PDP różnią się także w kwestii lokalizacji danych. Regulator telekomunikacyjny nie wydał żadnych konkretnych zaleceń w tej sprawie i odroczył to do Komitetu Srikrishna.
Z drugiej strony ustawa PDP określa różne stopnie lokalizacji danych dla różnych kategorii danych i nakazuje przechowywanie i przetwarzanie krytycznych danych osobowych tylko w Indiach. Co ciekawe, projekt ustawy nie precyzuje, jakie są krytyczne dane osobowe, a ich zdefiniowanie pozostawia rządowi centralnemu. Jest prawdopodobne, że rząd określi dane telekomunikacyjne jako krytyczne dane osobowe.
W przeciwieństwie do zaleceń TRAI, okólnik RBI wydaje się być zasadniczo zgodny z ustawą PDP. Jednak brak jasności co do tego, co stanowi krytyczne dane osobowe, jest również problemem w przypadku informacji finansowych. Podobnie jak dane telekomunikacyjne, jest całkowicie prawdopodobne, że rząd określi dane finansowe jako krytyczne dane osobowe. W takim przypadku wszystkie dane finansowe, a nie tylko dane systemów płatności, będą musiały być przechowywane i przetwarzane lokalnie tylko w Indiach.
Ustawa PDP prawdopodobnie zostanie zmodyfikowana, zanim zostanie uchwalona. Niezależnie od ostatecznego kształtu prawa, fakt, że regulatorzy sektorowi mają do odegrania kluczową rolę w kształtowaniu indyjskiego prawa o ochronie danych, pozostaje bez zmian.