个人数据保护法案/许多盲点。更好地走路

2020-07-13 18:22:01 作者:

维克拉姆·科皮卡(Vikram Koppikar)

担心。在涉及“个人数据保护条例草案”时,这就是印度公司的普遍情绪。

该法案于2019年12月11日在Lok Sabha提出,现已送交联合特别委员会进一步审查。

尽管当前的版本处理了由B N Srikrishna司法委员会准备的初稿中的一些有争议的问题,但它并非没有自己的问题。

相关新闻LifeHacks /难以管理PDF文件?这些工具可以帮助Wipro在20财年的招聘人数比19财年增加一倍:Saurabh Govil LifeHacks /四个必备的浏览器扩展程序可以安全地上网

最终的法案减轻了先前版本的某些数据本地化要求,但插入了某些规定,这些规定使公司失去睡眠。如果需要的话,一个使政府机构不受该法案条款约束的人仍然很讨厌。访问非个人数据以进行决策以及对处理大量个人信息的社交媒体公司进行额外的验证也引起了极大的担忧。

在这种情况下,数据主体被广义地定义为与个人数据有关的人。当他或她与收集或使用此类数据的多家公司或数据受托人共享个人信息时,这是一个信任问题。

话虽如此,就该条例草案,其执行和补救机制而言,不乏挑战。我们试图解开烦恼,并在与印度潜在企业谈判时对该公司的期望进行了快速分析。

a)适用范围:第3节(31)将数据处理定义为对个人数据执行的一种操作或一组操作,其中可能包括诸如收集,记录,组织,结构化,存储,适应,更改,检索,使用,对齐或组合,索引,通过传播或破坏披露。

另一部分规定了当局在将数据受托人归类为“重要”时必须考虑的因素-(a)数量(b)处理的个人数据的敏感性。

上述定义意味着医疗机构和学校等组织属于“重要数据受托人”,因为它们处理医疗记录和其他与儿童有关的信息(第16节)。这些机构是否有足够的能力去遵守这些规定。

b)立法重叠:众所周知,该法案是按照GDPR(通用数据保护法规)的范本严格制定的,该法规规范了欧盟主体的权利。企业现在可能会面临法案,GDPR和其他国际数据保护法规之间不可避免的重叠的情况。

第2(A)节规定,该规定应适用于“(a)处理在印度领土内收集,披露,共享或以其他方式处理的个人数据; (b)国家,任何印度公司,任何印度公民或根据印度法律注册或成立的任何个人或个人团体对个人数据的处理”。

与上文第3(31)节一并阅读,这意味着在印度从事“数据处理”业务的印度公司受《数据保护法案》的约束。但是,无论在何处处理,都必须由GDPR处理与欧盟公民有关的个人数据。在印度处理海外个人数据的业务流程外包(BPO),知识流程外包(KPO)和其他“后台”公司等行业,需要明确最终将采用哪些立法。

c)合法同意?GDPR中的“合法权益”是一个概念,允许基于各种标准出于多个目的处理个人数据。条例草案也有重复的部分。

根据第5节,处理个人信息的实体应以公平合理的方式处理该信息,并确保数据主体的隐私。它必须是出于同意或与同一目的相关的目的。数据主体有理由期望此类个人信息将用于收集信息的环境和情况。

对本段的仔细阅读提出了一个问题,即实际上是否可以合法地认为已获得这种同意。

d)补救机制:该法案赋予与数据处理有关的数据主体一系列权利,包括就其数据的处理方式和原因进行更新。委托人有权在一个地方访问与其共享个人数据的数据受托人的身份。这些部分规定了各种复合“注册表”。鉴于处理个人信息的行业众多,是否可以实现跨行业同步来创建此类注册表仍有待观察。

(Vikram Koppikar是塔塔咨询服务公司的高级法律顾问。视图是个人的。)

相关推荐

图文推荐