«Диалог» от Inc42 и Ikigai Law: законопроект о PDP отмечает четкое разделение между мышлением политиков и стартапами

В то время как Министерство электроники и информационных технологий (MeitY) пригласило общественность прокомментировать проект закона о защите персональных данных 2018 г. (законопроект о PDP), не позднее 30 сентября, Inc42, совместно с законом Ikigai (ранее TRA) , 7 сентября, организовали интерактивную сессию за круглым столом со стартапами, чтобы обсудить влияние законопроекта на их бизнес после его принятия в парламенте.

Модерируемый Вайбхавом Агравалом, основателем и генеральным директором Inc42, Анирудхом Растоги, основателем Ikigai Law, и Нехаа Чаудхари, руководителем политики Ikigai Law, «Диалог» рассмотрел ключевые моменты законопроекта о PDP — локализацию данных, критичность данных, уведомления о согласии. пользователям и требования согласия среди прочего. В круглом столе, доступном только по приглашению, приняли участие основатели стартапов, которые подняли множество проблем, которые не были решены или на которые нет ответов в существующем законопроекте.

Законопроект о защите персональных данных: ключевые моменты

Сбор данных

Будь то офлайн или онлайн, методы сбора данных стартапами должны будут измениться после принятия законопроекта. Законопроект обязывает фидуциаров данных (органов, собирающих или обрабатывающих данные) направлять уведомления своим пользователям о данных, которые они стремятся собрать, о цели сбора, о том, будут ли данные переданы третьим лицам или за пределы страны, как это будет хранится, как долго он будет храниться и так далее.

Таким образом, проект делает сбор персональных данных ограниченным и подлежит уведомлению и согласованию. Соответственно, стартапы должны будут уведомить существующих пользователей о своих методах сбора и использования данных и получить согласие нового пользователя. Стартапы на круглом столе выразили обеспокоенность тем, что большая часть их пользовательской базы может не предоставить согласие снова и в требуемом порядке, что приведет к сбоям в их бизнесе. «Эта проблема усугубляется в Индии, учитывая, что средний индийский пользователь не очень технически грамотен и может не дать детального согласия», — сказал Вивек Джейн, генеральный директор InteractiveMedia, которая предоставляет интерактивные платформы для специалистов в области управления, права и финансов.

Законопроект в первую очередь касается «персональных данных», то есть данных, которые могут быть использованы для идентификации личности. Однако персональные данные не ограничиваются именем, адресом и т. д. Это могут быть любые данные, которые могут быть объединены с другими данными — даже с общедоступной информацией — для какой-либо идентификации человека. Например, если компания такси знает, что кто-то ежедневно ходит в определенное кафе, набор данных может использоваться для идентификации уникального человека и будет представлять собой личную информацию, объяснил Анирудх Растоги из Ikigai Law.

В то время как некоторые из присутствовавших стартапов считали, что этот пункт о персональных данных может быть для них одним из основных препятствий, некоторые придерживались мнения, что проект индийского законопроекта о PDP не отдает приоритет «праву на бизнес», как в Общем регламенте по защите данных (GDPR). ) сделано.

Локализация данных

Для каждого фидуциара данных, прямо или косвенно участвующего в сборе или обработке данных, принадлежащих индийским принципалам данных, проект закона о PDP делает обязательным хранение по крайней мере копии данных на сервере или в центре обработки данных, расположенном в Индии. Кроме того, определенные данные, такие как «критические» данные, которые будут определены правительством в сочетании с предлагаемым Управлением по защите данных (DPA), будут храниться только на серверах в Индии.

Таким образом, мандат на локализацию данных требует, чтобы фидуциары данных также установили свои серверы в Индии. Однако на круглом столе основатели стартапов отметили, что выбор сервера данных в Индии обходится дороже, чем использование серверов данных в США и Сингапуре; мандат также ограничивает выбор стартапов, налагает более высокую административную нагрузку и наносит ущерб с точки зрения безопасности данных, утверждали они. Другие заявили, что различные облачные сервисы сегодня недоступны на индийских серверах и не обязательно будут локализованы, поскольку индийский рынок для многих таких сервисов крошечный по сравнению с мировым рынком.

Рекомендуется для вас:

Ресурсы

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии

Амит Дас

31 июля 2022 г.

Новости

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: Cit...

Джасприт К.

31 июля 2022 г.

Ресурсы

Как Metaverse изменит индийскую автомобильную промышленность

Вайбхав С.

31 июля 2022 г.

Ресурсы

Что означает положение о борьбе со спекуляцией для индийских стартапов?

Чаранья Л.

31 июля 2022 г.

Ресурсы

Как стартапы Edtech помогают повысить квалификацию рабочей силы Индии и стать готовыми к будущему ...

Анкуш С.

31 июля 2022 г.

Новости

Технологические акции нового века на этой неделе: проблемы Zomato продолжаются, EaseMyTrip публикует...

Тапанджана Р.

31 июля 2022 г.

Таким образом, такие требования, как локализация данных, уведомление о согласии, развлечение пользователей, право на доступ и право на забвение, не только увеличат затраты стартапов и снизят их прибыль, но и негативно повлияют на их деятельность, эффективность и глобальную конкурентоспособность.

Участники также подчеркнули, что стартапы должны соблюдать не только законопроект о PDP. Им необходимо соблюдать несколько законов, связанных с данными, которые могут быть как отраслевыми, так и национальными законами о защите данных, и это увеличит их бремя.

Многие придерживались мнения, что положение о локализации данных было включено в законопроект из-за особенно сильного лобби, поддержавшего этот вопрос. Они добавили, что установленные здоровенные штрафы в размере до 15 крор и уголовная ответственность будут препятствовать бизнесу стартапов в целом.

Конфиденциальные личные данные

В законопроекте о PDP также используется концепция конфиденциальных персональных данных (SPD). Конфиденциальные персональные данные включают в себя такую ​​информацию, как данные о здоровье, официальные идентификаторы (удостоверение личности Aadhaar, водительские права и т. д.), биометрические данные, религиозные или политические убеждения и данные, связанные с кастами.

Однако нет ясности в отношении того, являются ли «критические данные» подмножеством SPD или нет. Правительство еще не определило определение «критических данных».

Получение согласия участников данных

В соответствии с GDPR в законопроекте о PDP также четко определено, что информация, связанная с получением согласия, должна быть бесплатной, полной, недвусмысленной и указываться посредством позитивных действий. Компаниям не рекомендуется предлагать пользователям предварительно отмеченные поля «Я согласен» в начале политики конфиденциальности, вместо этого пользователи должны активно ставить галочку в поле, появляющемся только в конце политики конфиденциальности, чтобы определить, что они по крайней мере, прокрутил политику вниз, чтобы действительно прочитать ее. В таком случае командам разработчиков будет важно тесно сотрудничать с юристами, чтобы найти баланс между передовыми методами сбора данных и пользовательским опытом, пояснил Растоги.

Помимо согласия, законопроект также предоставил определенные права принципалам данных, которые фидуциары данных будут обязаны использовать в течение определенного периода времени. К ним относятся право на доступ, право на забвение и т. д.

Законопроект о PDP: впереди проблемы

Круглый стол перечислил ряд проблем, которые остаются неоднозначными, без ответа и должны быть решены до внесения законопроекта в парламент. Некоторые из проблем, которые учитываются:

• В Индии значительный объем данных по-прежнему обрабатывается в автономном режиме, но в законопроекте о PDP не упоминается способ получения согласия при сборе данных в автономном режиме. Как фидуциары данных должны отправлять уведомление о согласии принципалам данных при сборе их данных?
• Стандарты, изложенные в законопроекте, определены слабо или вообще не определены.
• Сбор данных для повторяющихся транзакций или с использованием новых технологий, таких как устройства IoT или распознавание лиц, станет сложнее реализовать, объясняет Нехаа Чаудхари из Ikigai Law.
• Законопроект повлияет на трансграничный обмен данными для исследований в таких областях, как эффективность лекарств и т. д.
• Стоимость соблюдения требований значительно возрастет для компаний и особенно обременит стартапы.
• Соответствие для стартапов, стремящихся предлагать услуги по всему миру, будет еще более проблематичным, поскольку им нужно будет соблюдать разные стандарты, предписанные разными законами.
• Участники также отметили, что мобильные телефоны людей содержат личные данные их контактов и могут потеряться; люди часто обмениваются визитными карточками, не говоря конкретно о цели. Они задались вопросом, как законопроект повлияет на такие сценарии в будущем? Что произойдет, если кто-то потеряет свой мобильный телефон? Подлежит ли он/она судебному разбирательству в соответствии с действующим законопроектом?

В законопроекте о PDP также указывается, что компании могут собирать только определенные данные, относящиеся к конкретным целям, определенным Управлением по защите данных. Для стартапов это может стать серьезным препятствием. Например, осуществляется ряд пилотных проектов, в которых цель сбора данных остается независимой по своему характеру. Нынешний законопроект не дает ясности по таким случаям. Участники добавили, что если законопроект будет принят в его нынешнем виде, это негативно повлияет на прорывные технологические достижения, которые обычно достигаются с помощью пилотных проектов, реализуемых стартапами.

Законопроект о PDP: диалог должен продолжаться

В Inc42 и Ikigai Law «Диалог» прошла горячая, содержательная дискуссия с активным участием всех участников. По сути, разговор выявил явный разрыв между мышлением политиков и технологическими стартапами . Этот разрыв необходимо преодолеть, чтобы сохранить импульс индийской стартап-экосистемы. Диалог должен продолжаться.

MeitY открыт для комментариев, отзывов по проекту законопроекта о PDP до 30 сентября 2018 года. Не забудьте сделать так, чтобы ваш голос был услышан, пока не стало слишком поздно и стало сложнее исправлять ошибки!

Обновление 1: 9 сентября 2018 г., 21.46

Дата подачи отзывов на законопроект о защите персональных данных в Индии от 2018 года продлена до 30 сентября 2018 года.